Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления

910 views

Published on

Презентация с вебинара. Вебинар посвящён рассмотрению подхода компании Cisco к вопросам кибербезопасности АСУ ТП. Представлены основные решения Cisco для обеспечения информационной безопасности промышленных систем управления и автоматизации, их основные функции, возможности и отличительные особенности.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Решения Cisco для обеспечения кибербезопасности промышленных систем автоматизации и управления

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Решения Cisco для обеспечения кибербезопасности промышленных сетей Алексей Лукацкий Бизнес-консультант по безопасности 20 апрель 2016 г.
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Wireless  MESH Industrial  Wireless WiFi Ethernet Fibre subring Fibre backbone Non-­wired  backup
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Cisco IE коммутаторы: обзор портфолиоФУНКЦИИ § Layer  2 § Small  Form  Factor § IP30  and  IP67 § CC* § DLR  (only  Stratix) § Profinet  MRP § Layer  2  NAT § IEEE  1588  PTP § PoE/PoE+ § Layer  2  and  3 (IP    services) § Small  Form  Factor § PRP § IEEE  1588  PTP   &  Power  Profile § PoE/PoE+ Cisco® IE 2000  Series Cisco  IE  2000U Series § Layer  2  or  3 (IP  services) § Modular § Up  to  24  ports § IEEE  1588  PTP § PoE/PoE+ § Layer  2  or  3 (IP  services) § 1RU § 2  GE  combo  uplinks § 8  PoE  and  16  SFP   or  24  copper § Power  profile   (CGS2520) § PoE/PoE+ Cisco  IE  3000 Series Cisco  IE  3010 Series  Cisco CGS-­2520 Доступ Лучшие  в  классе Cisco  IE  4000  Series Агрегация 1  Gbps § Designed  for  all   industries § Layer  2  or  3 (IP  services) § 4-­port  GE  uplinks § Up  to  20  ports  GE § IEEE  1588  PTP  &   power  profile § Layer  2  NAT § Up  to  8   PoE/PoE+ § Dying  Gasp § TrustSec® SGT   HW  ready § MACsec   § FNF  HW  ready § Time  Sensitive   Network  (TSN)   HW  ready 2014  Control   Engineering   Award 2014  Interop   Tokyo IoT  Award 10/100  Mbps ‘*’  –Selected  Models Cisco  IE  5000  Series § Designed  for  all   industries § Layer  2  or  3 (IP  services) § 4-­port  10GE  or   GE  uplinks § 24  ports  GE § IEEE  1588  PTP  &   power  profile § Layer  2  NAT § Up  to  12  PoE/PoE+ § Dying  Gasp § TrustSec® SGT   HW  ready § MACsec  HW  ready § FNF  hardware   ready § Time  Sensitive   Network  (TSN)  HW   ready § CC* 10  Gbps
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Точки доступа CiscoAironet OutdoorAccess Points 1530 1550H 1570 • Низкопрофильная • 11n,  2G:  3x3:3;;  5G:  2x3:2 • Внутр/внеш.  антенны • Гибкая  по  интерфейсам   подключения • 11n,  2x3:2  (Tx/Rx/SS) • Внутр/внеш.  антенны • Лучшая  в  семействе • 11ac,  4x4:3  (Tx/Rx/SS) • Внутр/внеш.  антенны • Модули  расширения IW3700 • Компактная • 11ac,  4x4:3 (Tx/Rx/SS) • Внешние  антенны
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Cell/Area  Zone Уровни  0-­2 Индустриальная зона Уровень 3 Буферная зона (DMZ) Контроль  в  реальном   времени Конвергенция Multicast  Traffic Простота  использования Сегментация Мультисервисные сети Безопасность  приложений  и   управления Контроль  доступа Защита  от  угроз Сеть  предприятия Уровни  4-­5 Gbps   Link  for  Failover   Detection Firewall  &   IPS Firewall  &  IPS Application   Servers Cisco Catalyst  Switch Network  Services Cisco  Catalyst 6500/4500 Cisco  Cat.  3750 StackWise Switch  Stack Patch  Management Terminal  Services Application  Mirror AV  Server Cell/Area  #1 (Redundant   Star  Topology) Drive Controller HMI Distributed   I/O Controller DriveDrive HMI Distributed   I/O HMI Cell/Area  #2 (Ring  Topology) Cell/Area  #3 (Bus/Star   Topology) Controller Интеграция  в  сеть  предприятия UC Wireless Application   Optimization Web Apps DNS FTP Internet Identity  Services  Engine Архитектура Ethernet-to-the-Factory (ETTF)
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Новая сертификация CCNA Industrial 20.04. ©  2015  Cisco  and/or  its  affiliates.  6
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Cisco Connected Industries Business Unit Ruggedized   Wireless  AP Industrial Routers  &  Switches Industrial   Security Продукты  в   защищенном   исполнении Converged   Plant Road  &  Rail   Network   Infrastructure Machine   Builder Connected   Vehicle Connected   MachineSmart  Solution Pervasive   Security Scalable   Routing Deterministic   Ethernet Big  Data   Management Guaranteed DeliveryДрайверы  IoE Time   Sync Process  Mfg.   Oil  &  Gas Transportation Discrete   Mfg. Machine  to Machine Отрасли Партнеры Advanced   Services + Hardened  Mobile   M2M Gateway Connected   Vehicle
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Почему нельзя начинать с продуктов?
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Из чего состоит решение по защите промышленной сети? Уровень  реализации Логический  уровень Концептуальный  уровень Люди Политики Технологии
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Эталонная архитектура в ИБ промышленной сети Общая  политика,   управление  и  учет   контекста  в  области   IoT-­безопасности   Конвергированная  структура   политик  (IT/OT) Управление  политиками  на   оконечных  устройствах Управление   идентификацией Конфигурация   и  управление  обновлениями Инициализация Управление  учетными   данными Нормативное  соответствие AAA Агрегация  контекста   и  совместное   использование Облачная  безопасность Защита  приложений Открытые   и  партнерские   API-­интерфейсы Обнаружение  уязвимостей  и   вредоносного  ПО Сбор  телеметрии   и  анализ  угроз Управление   журналами/SIEM  и  их   сохранение     Экспертиза   (напр.  Что  произошло?) Мониторинг  и  контроль   приложений  IoE с  сохранением  состояния Детализованное  управление  доступом   (Гость/подрядчик,  сотрудник  и  вещи) Удаленный  доступ  для   обслуживания  устройств,  процессов   и  систем  управления Профилирование   IoT-­устройств  и  оценка   защищенности Аутентификация  и  управление  ключами  доступа 802.1X,  MAB,  Гостевые (в  т.ч.  устаревшие),  802.11i,  802.15.4 Транспортное  шифрование (802.11i,  TLS,  802.1AE…) Исследования,  анализ  и  защита  от  угроз  (в  т.ч.  в  облаке) Применение  политик  (Сеть) Безопасность  на  транспортном  уровне Сообщество  Intel Сетевая  безопасность  IoT-­устройств  (FW/IPS/VPN) Безопасность  на  физическом  уровне Обнаружение Мониторинг РеагированиеАнализ Безопасность  устройств  TPM,  HSM,  аттестаты  безопасности,  безопасное   хранение
  11. 11. Архитектура  безопасности
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Смена парадигмы в кибербезопасности промышленной сети • Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации) • Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Из чего состоит решение по защите промышленной сети? Уровень  реализации Логический  уровень Концептуальный  уровень Люди Политики Технологии
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Иерархическая модель управления в промышленной сети Зона  Enterprise MES,  CRM,  SCM,  ERP   DMZ Зона  производства SCADA Cell/Area  Zone I/O,  HMI,  PAC/PLC Demilitarized  Zone  — Shared  Access Enterprise  Network Level  5 Site  Business  Planning  and  Logistics  Network Level  4 Site  Manufacturing  Operations  and  Control Level  3 Area  Control Level  2 Basic  Control Level  1 Process Level  0
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Характерные приложения и системы MES — Manufacturing  Execution  System  измеряет  и  контролирует  параметры   производства;;  отслеживает  и  измеряет  ключевые  операционные  критерии,  такие  как   продукты,  оборудование,  инвентарь,  дефекты,  задания  и  тд – ключевой  интерфейс   для  систем  уровня  Enterprise. Historian – Собирает  исторические  данные  с  уровня  производства  и  производит   отчеты  в  разных  форматах.  Level  3 SCADA—Supervisory  Control  and  Data  Acquisition;;  Широкомасштабная   распределенная  система  измерения  и  контроля,  накрывает  географические  локации PAC  (или  PLC)— Программируемый  контроллер  автоматики;;  контролирует  часть   производственной  ячейки,  функциональную  линию  и  связанные  устройства HMI—Human  Machine  Interfaces  изображает  операционный  статус  персоаналу и   может  предоставить  бизнес-­функционал  (начать/остановить  процесс) I/O—Input/Output   устройства;;  устройств  измерения  или  контроля  ключевых   функций  или  аспектов  процесса  производства;;  Level  0
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Уровень  5 Уровень  4 Уровень  3 Уровень  2 Уровень  1 Level  0 DMZ Терминальные  сервисы Управление  патчами Антивирусный сервер Зеркало  приложений Управление  Web Сервер приложений Корпоративная  сеть Сеть  логистики  и  бизнес-­планированияE-­Mail,  Intranet  и  т.д. Клиент Пакетный контроль Дискретный контроль Drive Control Непрерывный контроль Контроль защиты Сенсоры Моторы Исп.устройства Роботы Сервер приложений Factory  Directory ПК  инженера Контроллер домена Клиент Operator   Interface Engineering   Workstation Operator   Interface Web E-­Mail CIP Area  Supervisory Control Basic  Control Process Зоны кибербезопасности в промышленной сети Активная  защита IPS,  МСЭ,  контроль  приложений,  безопасность  контента,  защита  от  вредоносов и  т.д. Активная  защита IPS,  МСЭ,  защита  от  вредоносного  ПО  и  т.д. Гибридная  активная/пассивная  защита IDS,  зонирование,  контроль  приложений,  защита  от  вредоносного  ПО  и  т.д.
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Ключевые положения кибербезопасности промышленной сети • Целостность и доступность промышленной сети – главные задачи! • Контроль трафика между разными уровнями промышленной сети • Недопущение прямых связей сети производства и корпоративной сетью • Ограничение real-time трафика производства зоной Manufacturing • Аутентификация и авторизация по ролям сетевого доступа к сети • Контроль доступа в промышленную сеть на коммутаторах доступа • Защита от сетевых атак, начиная с Layer 2 • Защищенный удаленный доступ к промышленной сети • Соединения должны инициироваться либо из зоны Enterprise либо Manufacturing и терминироваться в DMZ, инициирование соединений из DMZ только в исключительных случаях
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 Cisco SAFE for PCN
  19. 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Как может выглядеть архитектура промышленного предприятия? Бесперебойность функционирования технологических процессов Видимость приложенийи протоколов, контроль доступа и управление угрозами Работа в реальных ситуациях - Cisco Validated Design (CVD)
  20. 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Архитектура ИБ производства от Cisco WWW Прило жения DNS FTP Интернет Гигабитный   канал   для  определения   аварийного   переключения Межсетевой   экран (активный) Межсетевой   экран (режим   ожидания) Серверы   производствен ных   приложений Коммутатор   уровня   доступа Сетевые  сервисы     Коммутаторы  уровня     ядра Коммутатор уровня   агрегации Управление   исправлениями Сервисы   для   терминального   оборудования Зеркало  приложений Антивирусный   сервер Ячейка/зона   1 (Резервная   топология   типа  «Звезда») Диск Контроллер HMI Распределенный   ввод-­вывод Контроллер ДискДиск HMI Распределенный   ввод-­вывод HMI Ячейка/зона   2 (Топология   типа   «Кольцо») Ячейка/зона   3 (Линейная   топология) Коммутатор   уровня   доступа  2 Контроллер Ячейка/зона Уровни  0-­2 Производственная  зона Уровень  3 Демилитаризованная  зона Уровень  3.5 Корпоративная  сеть Уровни  4-­5 Усиленный  межсетевой  экран Усиленная  система  предотвращения   вторжений  (IPS) Удаленный  мониторинг  и  наблюдение Управление  ПО,  конфигурацией  и  активами VPN  и  сервисы  удаленного  доступа Межсетевой  экран  нового  поколения Система  предотвращения  вторжений  (IPS) Защита  от  угроз  в  облаке Применение  политик  для  всей  сети Контроль  доступа   (на  уровне  приложений) Межсетевой  экран  с  сохранением   состояния Защита  и  определение  вторжений  (IPS/IDS) Системы  управления  физическим   доступом Сервисы  идентификации ISE
  21. 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Cisco Connected Factory 3.5.0 – беспроводная инфраструктура Продукты  решения Бизнес  результат Ключевые  параметры Уменьшение  затрат Factory  Mobility • Mobile  Controls  visibility • Wireless  tooling,  I/O • Asset  Tagging • Mobile  video • Mobile  Apps • 1552  AP,  2600  AP,  WLC • Stratix 5100  AP • Ent  Mobility  Svs Platform • IOE  Site  surveys CVD  от  Ноября‘14Cell  /  Area  Zone  Level  0  – 2 Enterprise  Zone  Level  4  -­ 5 Industrial  Zone  Level  3 Industrial  Demilitarized  Zone Catalyst  3750X Catalyst 4500/6500 ASA  55xx-­X (Active) ASA  55xx-­X (Standby) • Wide  Area  Network  (WAN) • Physical  or  Virtualized  Servers • ERP,  Email • Active  Directory  (AD),  AAA  – Radius • Call  Manager,  etc. Plant  Firewalls: • Inter-­zone  traffic  segmentation • ACLs,  IPS  and  IDS • VPN  Services  – Remote  Site  Access • Portal  and  Terminal  Server  proxy Web DNS FTP Catalyst Switch Internet Cisco  5500  WLC Cisco  WLC Anchor Cisco  WLC Industrial    Wireless   CPWE  3.5.0 Catalyst 2960-­X Catalyst 2960-­X Catalyst 2960-­X Catalyst 2960-­X Failover Outside DMZ DMZ Inside Active  Directory  Fedrated  Services ISE  34xx  PAN,  MnT,  IPN SiSi SiSi Patch   Management Terminal  Services Data  Share Cisco  Video   Surveillance   Data  Share Application   Server AV  Server FactoryTalk  AssetCentre FactoryTalk  View   Server,  Clients   &  View  Studio FactoryTalk  Batch FactoryTalk  Historian RSLinx   Enterprise FactoryTalk  Security  Server Cisco   Video   Surveillance   Manager 1588   Precision   Time  Protocol  Service Active  Directory   Federated   Services Remote   Access  Server Studio   5000 Cisco  5500  WLC  (redundancy  option)   Controller HMI I/O I/O WGB I/O Drive WGB Controller I/O I/O A  P A  P WGB X WGB Roaming  I/OCell/Area  # (Wireless  Topology) A  P A  P ISE  Policy  Service   Node БЛВС   производства
  22. 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Архитектура ИБ транспортного блока от Cisco PTC IPICSVSMS  /  VSOM IP/MPLS Домен UCS WAN/  Ядро Центр  управления Трансп.  зона Усиленный  межсетевой  экран Усил.  система  обнаружения  вторжений   (IDS) Удаленный  мониторинг  и  наблюдение Управление  ПО,  конфигурацией   и  активами VPN  и  сервисы  удаленного  доступа Межсетевой  экран  нового  поколения Система  предотвращения  вторжений  (IPS) Защита  от  угроз  в  облаке Применение  политик  для  всей  среды Контроль  доступа  на  уровне  приложений Межсетевой  экран  с  сохранением   состояния Система  обнаружения  вторжений  (IDS) Системы  управления  физическим   доступом Сервисы  идентификации Сети  безопасности   и  управления   процессами Offload VSMS PTC  3000 TMC Оборудование Мультисервисные  сети
  23. 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Архитектура ИБ железнодорожного транспорта отCisco
  24. 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Суб-архитектуры ИБ для железнодорожного транспорта • Конвергентная сеть в вагонах и голове состава • Поддержка Wi-Fi • Предоставление расширенных сервисов пассажирам • От SDN к MPLS/IP • Конвергентная сеть • Высокая пропускная способность для новых приложений • Конвергентная сеть станции • Поддержка Wi-Fi • Предоставление расширенных сервисов пассажирам Решение  Connected  Rail © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14 1:05PM Passenger ServicesSafety & Security Station Operations PoE PoE PoE "" CISSMS Connected  Train Connected  Trackside Connected  Station
  25. 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Архитектура ИБ аэропорта от Cisco Multitenant  Network Cisco  Connected  Airport  –  Reference  Architecture  (Issued  V1) For  More  Information:            Ted  Nugent  –  BDM  Aviation  runugent@cisco.com   Enabling  Airports  to  Create  a  Sustainable  Infrastructure WAN  Aggregation Operations  ControlTerminalHangar  or  Warehouse Primary  Data  Centre Internet  Edge Teleworker/Mobile  Worker Network  Management Freight  /  Cargo  operations Airport  Admin/Tenants M  &  E  Infrastructure Passenger,  Airport  Staff    &  Airline  WiFi Cloud  Services IP  Soft  Phone TelePresence  MOVI   Video  Conferencing Virtual  Desktop WAAS  Mobile Anyconnect  VPN  Client Video  Communication   Server  (VCS)   Expressway TelePresence TelePresence Ironport  Email  Security Anti-­‐Spam,  Anti-­‐Virus Data  Loss  Prevention  (DLP) Ironport  Web  Security Acceptable  Use  Policy  (AUP) Malware  Prevention IP  Phone WiFi  Access  Point SCADA Door  Access  ControlVideo  Surveillance Digital  Signage IP  Video  Phone WiFi  Access  Point Door  Access  Control Video  Surveillance TelePresence Digital  Signage IP  Video  Phone WiFi  Access  Point Door  Access  Control Video  Surveillance ASA5500 Firewall Intrusion  Prevention  (IPS) Virtual  Private  Network  (VPN) Door  Access   Control Analogue  Camera ISR  G2  Router VPN Firewall Wireless ASR1000  Router WebEx  Node WAN  Optimisation   (WAAS) Catalyst  6500  VSS Services  Layer Firewall Server  Load  Balancing  (ACE) Network  Application  Monitoring  (NAM) Catalyst  6500  VSS Core  Switch Door  Access  Control WiFi  Access  Point Video  Surveillance Virtual  Matrix IP  Phone  Console MDS  9500 SAN  Switch Storage SAN Unified  Computing   System  (UCS)  Blade Unified  Computing   System  (UCS)  Blade Nexus  5000 Switch Nexus  5000 Switch Unified  Computing   System  (UCS)  Blade Nexus  2000 Switch Nexus  2000 Switch Nexus  7000 Core/Aggregation  Switch Nexus  7000 Core/Aggregation  Switch Catalyst  6500  VSS Services  Layer Firewall Server  Load  Balancing  (ACE) Network  Application  Monitoring  (NAM) MDS  9500 SAN  Switch Push-­‐To-­‐Talk  Radio  (IPICS) Digital  Signage IP  Video  Phone WiFi  Access  Point Door  Access  Control Storage TelePresence Tenant  2 WiFi  Access  Point Unified  Computing   System  (UCS)  Rack Digital  Signage Video  Wall Video  Surveillance Unified  Computing   System  (UCS)  Rack Unified  Computing   System  (UCS)  Rack Nexus  2000 Switch Nexus  5000 Switch Door  Access  Control IP  Video  Phone VXC/Tablet   (Virtual  Desktop) VXC/Tablet   (Virtual  Desktop) Digital  SignagePC/Tablet   (Virtual  Desktop) Catalyst  3850 Switch  Cluster PoE  Energywise Catalyst  6500  VSS Core  Switch Wireless  LAN Controller (Guest  Access) Video  Surveillance TelePresence Tenant  1 WiFi  Access  Point Door  Access  Control IP  Video  Phone Digital  SignagePC/Tablet   (Virtual  Desktop) Video  Surveillance TelePresence Tenant  1 WiFi  Access  Point Tenant  2 IP  Video  Phone Digital  SignagePC/Tablet   (Virtual  Desktop) Video  Surveillance WiFi  Access  Point Door  Access  Control IP  Video  Phone Digital  Signage PC/Tablet   (Virtual  Desktop) Video  Surveillance Building Management System  (BMS) HVAC/Lights Hypervisor Nexus  1000v Virtual  Machines Hypervisor Nexus  1000v Virtual  Machines Hypervisor Desktop  Virtualisation   Software Virtual  MachinesCommunication   Manager  (CUCM) Unity  Connection   (CUC) Jabber  (Presence) Contact  Centre   (UCCX) Meeting  Place Attendant   Console O S O S O S O S O S O S Digital  Media   Manager  (DMM) Show  &  Share   Server Webex  Social Network   Management TelePresence  Ctrl   Server  (TCS) TelePresence   Manager  (TMS) O S O S O S O S O S O S OS App OS App OS App OS App OS App OS App OS App OS App OS App OS App OS App OS App WAN  Optimisation   (WAAS) Wireless  LAN Controller IPICS  Server Physical  Access   Manager  (PAM) Video  Surveillance   Operations  Manager Video  Surveillance   Media  Server  (VSMS)   Mobility  Services   Engine  (MSE) Media  Exchange   Engine  (MXE) Video  Comms  Server   (VCS) PSTN ISR  G2 PSTN  Gateway Voice/Video  DSPPrime Cisco  Security   Manager  (CSM) Data  Centre  Network   Manager  (DCNM) Network  Control   Systems  (NCS) LAN  Management   System  (LMS) Identity  Service   Engine  (ISE) Network  Analysis   Module  (NAM) Collaboration   Manager  (CM) Fibre  Channel  over  Ethernet  (FCoE) Fibre  Channel  Storage  Links Ethernet VXC/Tablet   (Virtual  Desktop) Rugged  Mobile  Computer   Connected  Field  Staff Cisco  Connected  Airport  –  Reference  Architecture  ©  Copyright  2011-­‐13  Cisco  Systems,  Inc.  All  Rights  Reserved. Industrial    Ethernet  via  Cisco  Rugged  Switches   and  Routers  (CGS-­‐2520,  IE2000,  CGR-­‐2010)   support  SCADA  communications  through   hierarchical  segmentation.  This  results  in   reduced  cost  and  complexity  with  increased   efficiency,  scale,  resilience,  policy  enforcement   and  defence-­‐in-­‐depth  security. The  quality  and  collaboration  capabilities  of   TelePresence  are  far  beyond  typical  Video   Conferencing.  The  realism  and  quality  enhances   the  communication  value  of  meetings  enabling   users  to  catch  every  comment  and  nuance  of  the   conversation.  At  the  same  time,  Rail   Infrastructure  Managers  can  save  money,  time   and  energy  wherever  it  is  used. Standards  based  Wireless  Mesh  via  the  Cisco   Field  Area  Router  (FAR)  supports  connectivity   of  sensors  for  pro-­‐active  monitoring,  control   and  general  telemetry  of  the  Network.  Data  can   be  collected  and  processed  locally  on  the  router   enabling  distributed  intelligence.  Secure  wireless   access  for  field  staff  ensures  “always-­‐on”   network  connectivity. Cisco  Video  Surveillance  solutions  use  the  IP   network  to  deliver  and  receive  live  and   recorded  video  surveillance  media.  The  IP   cameras  are  feature-­‐rich  digital  cameras  that   enable  surveillance  in  a  wide  variety  of   environments  available  in  standard  and  high   definition;  wired  and  wireless  offering  efficient   network  utilisation  while  providing  high-­‐quality   video. Virtual  Desktop  Infrastructure  (VXI)  centralises   employee  desktops,  applications  and  data  in   the  data  centre.  It  provides  unprecedented   control  of  the  desktop  and  laptop  environment   and  helps  IT  to  secure  compute,  network  and   data  resources.  VXI  frees  end  users  from  the   constraints  of  a  specific  device  and  reduces  long-­‐ term  costs  by  simplifying  management  of  the   desktop  environment. Cisco  Physical  Access  Control  is  a  cost-­‐effective   IP-­‐based  solution  that  uses  the  IP  network  for   integrated  security  operations.  It  works  with   existing  card  readers,  locks  and  biometric   devices  and  is  integrated  with  Cisco  Video   Surveillance  and  IP  Interoperability  and   Collaboration  System  (IPICS)  for  a   comprehensive,  holistic  enterprise-­‐wide  safety   and  security  solution. Cisco  Digital  Media  Suite  (DMS)  enables  companies  to  learn,  grow,  communicate   and  collaborate  through  webcasting  and  video  sharing,  digital  signage  and   business  IP  TV  applications.  DMS  allows  quick  and  effective  display  of  information   include  training  for  live/on-­‐demand  video  broadcasts,  emergency  messaging,   schedules  and  news;  extending  the  overall  reach  of  corporate  communications. Cisco  Voice  and  Unified  Communications  develops  interactive  collaboration  by   combining  all  forms  of  business  communications  into  a  single,  unified  solution,  it   will  help  employees,  customers,  supplies  and  partners  to  communicate  with  each   other,  quickly  and  easily  without  obstacles. Cisco  Security  solutions  protect  assets  and   empowers  the  workforce.  Context-­‐aware   security  provides  high  level  intelligence,  policy   governance,  and  enforcement  capabilities.   Significantly  enhancing  the  accuracy,   effectiveness,  and  timeliness  of  any   organisation's  security  implementation. The  Mobile  TeleWorker  gains  flexibility  and   productivity.  Cisco  delivers  a  suite  of   teleworking  solutions  with  a  cost-­‐effective   approach  that  preserves  business  security   and  agility,  increases  productivity,  and   reduce  costs  by  continuously  connecting  the   TeleWorker,  anytime,  from  every  location  at   home  or  on  the  road. Cloud  Services  can  offer  savings  in  IT  resources   such  as  computing  storage  and  application   services.  “The  Cloud”  can  provide  theses   services  as  elastic  resources  that  are  suitable   for  use  in  existing  or  new  applications  without   a  large  investment  in  capital  resources  and   ongoing  maintenance  costs.  WebEx  delivers   online  meetings  and  easy-­‐to-­‐use  web   collaboration  tools  to  the  entire  workforce.   Scansafe  keeps  malware  off  the  corporate   network  and  more  effectively  controls  and   secures  web  usage. Cisco  Unified  Fabric  Data  Centre  provides  flexible,  agile,  high-­‐ performance,  non-­‐stop  operations;    self-­‐integrating   information  technology,  reduced  staff  costs  with  increased   uptime  through  automation,  and  more  rapid  return  on   investment.  It  accelerates  virtualisation  and  enables  automation   to  extend  the  lifecycle  of  mission-­‐critical  resources  to  support   evolving  needs.  Rail  companies  can  reduce  their  total  cost  of   ownership  (TCO)  and  increase  business  agility—both  critical  to   combating  the  server  sprawl  and  inefficiency  inherent  in  many   data  centres  today. Wide  Area  Application  Services  (WAAS)  is  a  comprehensive   WAN  optimization  solution  that  accelerates  applications   over  the  WAN,  delivers  video  to  the  branch  office,  and   provides  local  hosting  of  branch-­‐office  IT  services.  Cisco  WAAS   allows  IT  departments  to  centralize  applications  and  storage   in  the  Data  Centre  while  maintaining  LAN-­‐like  application   performance. IP/MPLS  in  the  WAN  enables  converged  secure  link   virtualisation.  It  reduces  overall  costs  by  supporting  multiple   logical  networks  across  a  single  physical  infrastructure.   Physical  Security ASR  1000  Router ASR  1000  Router Enterprise  Content   Delivery  Sys  (EDCS) TPresence  Multipoint   Control  Unit  (MCU) Mobile  Phone Anyconnect   VPN  Client Internet CGR-­‐2010   Rugged   Router  with   VPN/ Firewall Fire  service Gatelink      Mobile  Workforce IP  Phone IE2000 MPLS  Layer Optical   Layer P  Router PE  Router Operational  Network Facilities   Management Voice  Services RTU PMR  &Tetra Catalyst  3850 Video  Gateway IP  Camera Vehicle/Passenger  Tracking Mast Retail Passenger  services Customer   Information   Screens Help-­‐point   Phone Telephony Security  Systems Video  Surveillance Internet Access GPRS/3G/LTE VG350IP  PhoneIP  Phone IP  Phone CGS-­‐2520 Rugged  Switch RTU Building Management System  (BMS) HVAC/Lights Catalyst  3850 Switch  Cluster PoE  Energywise Runway  lighting Maintenance Passenger  services Operations Analogue  Camera IP  Phone Video  Gateway IP  Camera Mast ISR  G2  Router IPICS CGS-­‐2520 Rugged  Switch IPICS IPICS Kiosks Mast NAV  Aids ISR/3850 MET 819  Router GPRS/3G/LTE CGS-­‐2520 Rugged  Switch Control  points IP  Camera IP  Phone 819  Router ISR  G2  Router RTU Baggage  Handling IP  Camera WiFi  Access  Point RFID  Tag Check-­‐in Catalyst  3850 Switch  Cluster PoE  Energywise Catalyst  3850 Switch  Cluster PoE  Energywise Catalyst  3850 Switch  Cluster PoE  Energywise Catalyst  3850 Switch  Cluster PoE  Energywise Digital  Signage BMS  HVAC/Lights RFID  Tag ASR  9000 Bus Field  Area  M2M   Router 3G/LTE Vehicule  tracking Field  Area  M2M   Router 3G/LTE Vehicule  tracking Barcode  Readers Public Annoucement Catalyst  3850 ISR  G2  Router ISR  G2  Router Catalyst  3850 Fire/Rescue Ambulance Barcode  Readers Tenants  and  Airlines ISR  G2  Router (WAAS,  VPN) ISR  G2  Router (WAAS) WiFi  Access  Point IP  Video  Phone PC/Tablet   (Virtual  Desktop) Catalyst  3850 Outdoor  Wireless Mesh Fire/Rescue ISR/3850ISR/3850ISR/3850 WiFi  Access  Point GSE Cargo
  26. 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
  27. 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Как может выглядеть архитектура цифровой подстанции с учетом требований регуляторов? Сегментированиесети и определение области для аудита Видимость приложенийи протоколов, контроль доступа и управление угрозами Работа в реальных ситуациях - Cisco Validated Design (CVD)
  28. 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 Сеть  агрегации   FAN ЗОНА  2 Мультисервисная  шина ЗОНА  3 Сеть  NERC  CIP ЗОНА  1 Сеть  подстанций Станционная   шина  IEC   61850 Шина   процессов   IEC  61850 Архитектура ИБ цифровой подстанции от Cisco Физическая   безопасность   Взаимодействие   с  сотрудниками Серийные,  C37.94,  E&M Периметр   электронной  безопасности   (ESP) PT ПрерывательCT CTPT Периметр   физической  безопасности   (PSP) Прерыватель IEDMU Распределенный контроллерHMI Устаревшая RTU PT CT Аппаратный I/O Сенсор Устаревшее реле РТЗ Прерыватель Частный  WiMax  или  LTE     для  полевой   сети Точка  электронного   доступа   Аренд.  транспорт  пост.  услуг Частн.  энерг.  б/п  сеть  MPLS/IP Центр   управления доступом ДМЗ Центр   обработки данных HMI SCADA   FEP EMS CPAM VSOM Аналитика ист.  данных SIEM PACS ACS CA LDAP HMI Контроллер соединения RTU Защитное реле Процессор коммуникаций PMU PDC Реле РТЗ
  29. 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Управление  и безопасность Уровень  1 Устройство Уровень  0 Центр управления Уровень  3 Устаревшая RTU Сети  безопасности   и  управления  процессами Мультисервисные  сети Ист.  данные HMI Отсек  питания Безопасность Процесс Питание Процесс Контроллер Контроллер Контроллер Серийные   и  неразъемные   соед. Ethernet-­процессы Ethernet-­мультисервисы WAN Беспроводн.   соед. ТранспортRFID SIEM Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель Системы безопасности Принтер Оборудование SIEM Система  SCADA Головная  станция Рабочие  станции оператора  и  разработчика Сервер  автоматизации   процессов  системы SIEM SIEM Обработка   и  распред.  ист.  данных Серверы  приложений Операционные бизнес-­системы SIEM SIEM SIEM Надежность  и безопасность Система  управления производством  (MES) SIEM SIEM Распределенная  система   управления  (DCS) SIEM SIEM Контроллер доменов Корп.  сеть Уровни  4-­5 Ист.  данные SIEM Анти-­ вирус WSUS SIEM SIEM Сервер  удаленной разработки SIEM Сервер терминального   оборудования SIEM ДМЗ Уровень  3.5 Телекоммуникации  на  операционном  уровне Беспроводн.   сети Интернет Контроль Уровень  2 Системы   видеонаблюдения Контроль доступа Голос Мобильные   сотрудники Беспроводн.   сенсор Контроллер Сенсор Выключатель Безопасность Архитектура ИБ нефтеперерабатывающего завода от Cisco
  30. 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Corporate ISP BRAS Voice PLCPLC RT  I/O Архитектура ИБ нефтедобывающей компании от Cisco Периметр Транспортная   сеть Ядро  сети Скважина Буровая Mobile  Field  Connectivity Micro  Seismic  Applications RF-­ID  Asset  Tracking Operational  Video  Surveillance Real  Time  Control Transparent  QoS Tagging Low  Latency  – Low  Jitter Gigabit  Data  Capacity  Backbone End-­to-­End  Oil  Field  Coverage IE-­3000 L-­3  Switch RDL-­3000m Nomadic   Radio IE-­3000 L-­3  Switch Elte-­MT ATEX-­2  Radio RDL-­3000 Base  Station RDL-­5000 PTP-­Microwave Сервера  управления IE  3000 Industrial   Switches Network Services Subsurface   Modeling Video  Management  Server Collaboration  Server Routing  &  QoS Definitions Operations  and  Control M2M I/O  Server Corp   VPN ASR-­1000 ASA-­5500 Switch Network  Security RDL-­3000 Base  Station 1552E Wi-­Fi  AP RF-­ID Mobile Workers VoIPVideo Surveillance HMI RTU Real  Time   I/O  Controller Video Surveillance Access  Control NMS/EMS Cisco  Video  Surveillance   MGR Cisco  Unified  Comms Server Cisco  Wireless  Controller
  31. 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 SCADA"&"Opera?onal" Business"Systems" Physical"Security" Wireless" Voice"&"Incident" Response" Industrial"DMZ" Control$Centre$(xN)$ Network" Services" Process,"Safety,"Power" Mul?service" Fog"Compute" The$Secure$ Pipeline$ Level$0$Level$1$Level$2$Level$2.5$ Physical$Security$ Opera3ons$Mgr$ SIEM SIEM SIEM SIEM Physical$$ Access$Mgr$ Video$$ Surveillance$Mgr$ Incident$ $Response$ WLAN$Controller$ Call$$ Manager$ Voicemail$Mobility$&$ Tracking$ Applica3ons$ SIEM Engineer$ Worksta3ons$ Metering$ SCADA$ Primary$ Energy$ Mgt$ Historian$ Repor3ng$Operator$ Worksta3ons$ SIEM SIEM SIEM SIEM SIEM SIEM SCADA$ Backup$ SIEM SIEM Remote$ Access$ Patch$Mgt$ An3virus$ NonNWired"WAN" 3G/LTE,"Satellite,"WiMAX,"RF"Mesh,"" Microwave" Virtualized$ SIEM RTU/Controller$ Wireless$AP$ Wireless$AP$Wireless$AP$Stra3x$Switches$ Stra3x$Switch$ Radio$ Mobile$Worker$ Voice$ CCTV$&$Access$Control$ RFID$ Fog$Node$ Master$MTU$ Level$3$&$3.5$Level$4$&$5$ Enterprise" WAN" Leak"Detec?on" Pipeline"Op?miza?on"Batch"Management" Physical"Security" Mobility"Industrial"Wireless" Analy?cs"Voice"&"Video"Metering" Visualiza?on" Asset"Management"Historian" Opera?ons"Intelligence"Condi?on"Monitoring" Energy"Management" Collabora?ve"Workspace" Asset"&"People"Tracking" Op?miza?on" Security" WAN$&$Security$ Office$ Domain$ Internet"3rd$Party$ Compressor(/(Pump(Sta9on( Meter/PIG/Terminal(Sta9on( Block(Valve(Sta9on( Instrumenta3on$ WAN$&$Security$WAN$&$Security$ WAN$&$Security$ Instrumenta3on$ Instrumenta3on$ Instrumenta3on$ Stra3x$Switch$ Wired"WAN" Ethernet,"DWDM,"MPLS" WAN,$Security,$&$Op3miza3on$ SIEM Alarm$Mgt$ Batch$ Control$ SIEM SIEM Ethernet" Serial" WiFi" Industrial"Wireless" RTU/Controller$ Instrumenta3on$ Stra3x$Switches$ Instrumenta3on$ RTU/Controller$ RTU/Controller$ RTU/Controller$ Архитектура ИБ трубопровода от Cisco и Rockwell Совместная функциональная архитектура целостной трубопроводной инфраструктуры. §Гибкий, модульный подход, подерживающий этапную трансформацию Нефте-Газового трубопровода §Виртуализация контрольной комнаты §Конвергентное WAN операционное взаимодействие §Проводные и беспроводные сети трубопровода §Интегрированные мульти- Сервисные системы §IEC 62443 / ISA99 Модель безопасности
  32. 32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32 SIEM Process'Control' Power'Management' Safety'Systems' Compressor'/'Pump'Sta7on' Mul7service' Domain'Sta7on'WAN'&'Security' Process'Domain' Metering'/'PIG'Sta7on' Metering' PIG'Systems' Gas'Quality' Mul7service' Domain'Sta7on'WAN'&'Security' Process'Domain' SCADA'&'Opera7onal'Business'Systems! SIEM Engineer' Worksta7ons' Applica7on' 'Servers' Domain'' Controller' Instrumenta7on' Instrumenta7on' Instrumenta7on' Instrumenta7on' Quantum' Quantum' MiCom' c264' SIL3!Controller! SIL3!Controller! GTW' RI/O' GTW' RI/O! Historian' Operator' Sta7on' Historian' PACIS' Operator'' Historian' Operator' Sta7on' HMI' Ethernet'Network' Ethernet'Network' Safe'Ethernet'Network' Ethernet'Network' 'Safe'Ethernet'Network' Wireless' AP' Mobile!Worker! IP!Voice! Access'Control' CCTV' RFID! Ethernet' Network' Wireless' AP' Mobile!Worker! IP!Voice! Access'Control' CCTV' RFID! Ethernet! Network! Wireless! AP! Controller' Controller' Controller' Ethernet'Network' Historian' Historian' Historian' HMI' HMI' Router' Firewall' Switch' Router' Firewall' Switch' Converged'OT'&'IT'Opera7onal'Field'Telecoms' SCADA' 'Primary' RAS'' Leak'' Detec7on' Physical'Security' Operator' Worksta7ons' SCADA' 'Backup' Training' Server' Historian' Repor7ng' Metering'' Systems' Main'Control'Center' Video'' Opera7ons' Access'' Opera7ons' Video'' Storage' Incident' 'Response' IP/Ethernet' DWDM' IP/MPLS' (virtualized/non/virtualized)1 (virtualized/non/virtualized)1 Backup'Control'Center' MCC'WAN'&'Security' BCC'WAN'&'Security' Mul7service' Domain' Mobile!Worker! IP!Voice! Access'Control' CCTV' RFID! Ethernet' Network' Wireless' AP' Process'Domain' Router'Firewall' Switch' Sta7on'WAN'&'Security' Block'Valve'Sta7on' Quantum' Instrumenta7on' Centralized'Opera7ons' Office'/'Business'Domain' Internet'Edge' Internet' 3rd'Party' Support' Voice' Wireless' WLAN'Controller' Call'Manager' Voicemail' Engineer' Worksta7ons' Applica7on' 'Servers' Domain'' Controller' SCADA' 'Primary' Leak'' Detec7on' Operator' Worksta7ons' SCADA' 'Backup' Historian' Repor7ng' Metering'' Systems' Incident' 'Response' (virtualized/non/virtualized)1 (virtualized/non/virtualized)1 Wireless' WLAN'Controller' Call'Manager' Voicemail' SCADA'&'Opera7onal'Business'Systems! Physical'Security' Voice' Magelis' ION' Metering' SEPAM' Protec7on' TeSys'T' Motor'Mgt' Al7var' Drive' MiCOM' Feeder'' Protec7on' Magelis' Video'' Opera7ons' Access'' Opera7ons' Video'' Storage' (Redundant1 Op5ons)1 (Redundant1 Op5ons)1 (Redundant1 Op5ons)1 SIEM SIEM SIEM SIEM SIEM Switch' SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM SIEM RI/O! ScadaPack' SIL3'Op7on' No'SIL'Op7on' Wireless!opAon! 3G/LTE,'WiMax' 900Mhz'RF'Mesh' Satellite,'Microwave' ROADM' ROADM' ROADM' Crew!Welfare!/! Infotainment! SIEM IDMZ' TIming' Server' SIEM AAA' TIming' Server'RAS'' SIEM SIEM AAA' WAN' Networks' IDMZ' Архитектура ИБ трубопровода от Cisco и Schneider Совместная функциональная архитектура целостной трубопроводной инфраструктуры. §Гибкий, модульный подход, подерживающий этапную трансформацию Нефте-Газового трубопровода §Виртуализация контрольной комнаты §Конвергентное WAN операционное взаимодействие §Проводные и беспроводные сети трубопровода §Интегрированные мульти- Сервисные системы §IEC 62443 / ISA99 Модель безопасности
  33. 33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33 Big Логическая структура промышленной сети в контексте ИБ Зона  DMZ   регламентирует   доступ  между   Enterprise и   Manufacturing зонами.
  34. 34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34 DMZ  #1   Реплики    Historian DMZ  #2 Управление  патчами DMZ  #N Терминальных  серверов Уровень  4,5  Корпоративная  сеть Уровень  3    -­ Производственная  площадка Функциональные   зоны Граница   соединения Запрет  прямых   соединений Зонирование и внутри DMZ
  35. 35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35 В  данном  примере  данные  собираются  и   передаются  в  бизнес  систему  в  Enterprise   зоне Данные  не  хранятся  и  не  используются  в   зоне  Manufacturing,  таким  образом  отказ   зоны  DMZ  не  влияет  на  процесс   производства Данные  IACS должны  буфферизоваться   на  тот  случай  если  не  будет  связи  с  DMZ. Потоки трафика в зоне DMZ
  36. 36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36 Топологии и внедрение зоны DMZ МСЭ предприятия должен работать в HA режиме Active/Active либо Active/Standby Рекомендуется топология с двумя МСЭ, данное разделение в том числе позволяет разным организациям контролировать потоки данных между зонами DMZ <-> Manufacturing и DMZ <-> Enterprise Рекомендуемые  уровни  безопасности:
  37. 37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37 1) Использовать  стандартный  Enterprise  уровня  удаленный   доступ  IPSEC  с  аутентификацией   через  Radius. 2) Ограничить  возможность  удаленных  пользователей   соединяться  к  DMZ  только  через HTTPS. 3) Соединиться  с  порталом  в  DMZ  https. 4) Установить  VPN сессию  через  SSL и  ограничить   использование  приложений,   например  только  RDP до   терминального   сервера. 5) Использовать  IPS/IDS  системы  для  отслеживания  атак  и   червей  от  удаленных  пользователей. 6) Ограничить  количество  терминальных  приложений,   которые  пользователь  может  запустить,  иметь  систему   аутентификации/авторизации   каждого   приложения. 7) Ограничить  количество  доступных  функций  в  приложении   для  пользователя. 8) Выделить  сервер  удаленного  доступа  в  отдельный  VLAN и   убедиться  в  прохождении   его  трафика  через  Firewall  и   IPS/IDS. Пример работы удаленного доступа
  38. 38. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38 Где найти вертикальную специфику? www.cisco.com/go/industry
  39. 39. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39 Где найти описание архитектур, включая ИБ? www.cisco.com/go/cvd www.cisco.com/go/safe
  40. 40. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40 Продукты  по  промышленной  ИБ
  41. 41. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41 Из чего состоит решение по защите промышленной сети? Уровень  реализации Логический  уровень Концептуальный  уровень Люди Политики Технологии
  42. 42. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42 Безопасность промышленных сетей от Cisco IE  Portfolio ISEIR  Portfolio 3000  and  6000  Series   WDR  IP  Cameras ASA  H ICPAM   Physical  Access  Control OT-­centric Security IoT  Network  As  a   Sensor  and  Enforcer IoT Physical  Security Fog  Data  Services ISA  3000 IoT  Security  Services
  43. 43. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43 Безопасность – это часть промышленных сетевых устройств Функции Cisco® IE2000 Cisco IE2000U Cisco IE3000 Cisco IE4000 LAN  Lite   (Layer  2  Lite) LAN  Base   (Layer  2) Enhanced  LAN   Base   (Layer  2) LAN  Base (Layer  2) IP  Services LAN  Base   (Layer  2) IP  Services (Full  Layer  3) LAN  Base   (Layer  2) IP  Services (Full  Layer  3) Layer  2   Features P R R R R R R R R IPv6 O P P P P P R P R Security P R R R R R R R R QoS O P P R R R R R R Multicast P P P P P P R R R Manageability R R R R R R R R R Utility   Enhancements O O O R R O O R R IE   Enhancements P R R P P R R R R Layer  3  Features O P P P P P R P R Функции LAN  Lite   (Layer  2  Lite) LAN  Base   (Layer  2) Enhanced  LAN   Base   (Layer  2) LAN  Base (Layer  2) IP  Services LAN  Base   (Layer  2) IP  Services (Full  Layer  3) LAN  Base   (Layer  2) IP  Services (Full  Layer  3) IE2000 IE2000U IE3000 IE4000 R Full  support P Limited   features  support O No  supportLegend:
  44. 44. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44 Big Использование управляемых коммутаторов Преимущества • Возможность  диагностики • Функции  безопасности • Сегментация  сети • Предотвращение  петель,   отказоустойчивость • Приоритезация промышленного   трафика • Precise  time  synchronization  (e.g.   PTP) • Улучшенные  контроль,   диагностика,  настройка •Управление  multicast  трафиком Недостатки • Дороже • Требует  настройки
  45. 45. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45 Resiliency Protocol Mixed   Vendor Ring Redundant Star Net  Conv >250  ms Net  Conv 50-­100  ms Net  Conv >  1  ms Layer  3 Layer  2 STP  (802.1D) X X X X RSTP  (802.1w) X X X X X MSTP  (802.1s) X X X X X PVST+ X X X X REP X X X EtherChannel (LACP  802.3ad) X X X X Flex  Links X X X DLR (IEC  &  ODVA) X X X X StackWise X X X X X HSRP X X X X   GLBP X X X X VRRP (IETF  RFC  3768) X X X X X Отличия протоколов для корпоративного и промышленного применения Net  Conv:  Network  Convergence Процессы  и  информация Критичные   к  задержкам Движение
  46. 46. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46 Ключ к решениям Cisco по ИБ
  47. 47. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47 Мы должны сегментировать промышленную сеть Взгляд  со  стороны   инфраструктуры Это  буква  «В» в  модели  BDA   (выстраивание   системы  отражения   вторжений)   ДО Контроль Применение политик Сдерживание
  48. 48. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48 Взгляд  со  стороны   эксплуатации   Не забывать про непрерывность защиты Это  буквы  «D»  и  «А» модели  BDA   (выстраивание  системы   реагирования  на   инциденты)   Обнаружение   Блокировка   Защита ВО ВРЕМЯ ПОСЛЕ Охват Изоляция Устранение
  49. 49. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49 Обзор решений Cisco по безопасности АСУТП § Cisco  ASA Firewall для  сегментации  (и  в  промышленном  исполнении) § Cisco  FirePower NGIPS  с  набором  сигнатур  для  промышленных  систем § Cisco  AMP  for  Endpoints  для  защиты  от  Malware  угроз  и  угроз  нулевого  дня  с   ретроспективным  анализом § Cisco  AnyConnect для  контроля  доступа  и  оценки  состояния  NAC § Cisco  ISE  для  идентификации  и  контроля  доступа  устройств  и  обнаружении   неавторизованных  подключений,  оценка  состояния  и  управление  доступом. § Cisco  Trustsec и  VRF-­lite  – создание  виртуальных  сегментированных  топологий   с  сервисами  сквозной  авторизации § Cisco  Cyber  Threat  Defense  (CTD)
  50. 50. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50 VPN VDI WSA IPS NGFW FW ISE Level  5 Level  4 Level  3 Level  2 Level  1 Level  0 Level  3½   Enterprise  Zone DMZ PCD  /   Manufacturing  Zone PCN  / Cell  /  Area  Zone ? ? Компоненты Cisco для защиты индустриальной сети
  51. 51. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51 Потребность в специализированных МСЭ/IPS Для  промышленного   применения,  АСУ  ТП,   подстанций  и  т.п. требуется   небольшой,  монтируемый  DIN-­ rail-­type  форм-­фактор,   способный  работать  в   экстремальной  окружающей   среде
  52. 52. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52 Пассивная защита в промышленной сети Сложности Ответ  Cisco • Пассивное   профилирование  сети • Отсутствие  задержек   между  устройствами  и   системами,  требующими   реального  времени • «Белые  списки»   ожидаемого,   предупреждения  по   аномалиями • ICS  означают  статичность,   но  часто  нет  возможности   проверить  это   • ICS  построены  с   минимальным  объемом   системных  ресурсов • Типичные  ИТ-­методы   идентификации  устройств   могут  привести  к  выходу   из  строя  индустриальные   системы  
  53. 53. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53 Новые модели Cisco ASAwith FirePOWER Services Desktop  Model Integrated Wireless  AP Выше   производительность Для  АСУ  ТП 100%  NGFW  -­ поставляется  с  AVC Wi-­Fi может  управляться   локально  или  через   Cisco  WLC 1RU;;  новая  платформа  – лучшее  сочетание  цены   и  производительности NGFW  для  критичных   инфраструктур  и   объектов 5506-­X 5506W-­X 5508-­X 5516-­X 5506H-­X Идеальна   для   замены Cisco® ASA  5505  
  54. 54. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54 «Настольная» модель CiscoASA5506-X 7.92  x  8.92  x  1.73  in. Параметр Значение CPU Многоядерный RAM 4  Гб Ускоритель Да Порты 8x  GE  портов  данных,   1  порт  управления  с 10/100/1000  BASE-­T Консольный порт RJ-­45,  Mini  USB USB-­порт Type  ‘A’  supports  2.0 Память 64-­GB  mSata Охлаждение Convection Питание AC  external,  No  DC
  55. 55. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55 CiscoASA5506H-X в защищенном исполнении ***  Конфигурация  Cisco® ASA  5506-­H  идентична  Desktop  ASA  5506-­X,  исключая  следующие  параметры: 9  x  9.2  x  2.5  in.   Параметр Значение Порты 4  x  портов  данных Управление 1 порт,  10/100/1000BASE-­ T,  100BASE-­FX,   1000BASE-­X,  SFP Напряжение 5V  (*** 5506  is  12V)   Диапазон  температур От  –20  до  60°C (рабочий) От  -­40 до  85°C (обычный) Монтаж Wall-­Mount, Horizontal   Desk,  Rack-­Mount и DIN   rail-­mount
  56. 56. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56 Специальные сертификаты на CiscoASA5506H-X Сертификаты соответствия 9  x  9.2  x  2.5  in.   IP40  per  IEC  60529 KN22 IEC 61850-­3 IEC 61000-­6-­5 IEC 61000-­5 IEC 611000-­4-­18 IEEE 1613.1 IEEE C62.412 IEC 1613 IEC 61850-­3 IEC 60068-­2
  57. 57. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57 Промышленный МСЭ/IDS Cisco ISA3000
  58. 58. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58 Основные характеристики Cisco ISA3000 § Производительность: 2 Gbps § Кол-­во  IPSec/SSL  VPN:  25 § IPv4  MAC  Security  ACE:  1000   § Кол-­во  интерфейсов:  4x1GE  или  2xGE,  2xFiber  (SFP) § Медный:    4x10/100/1000BaseT § Оптический:  2x1GbE  (SFP),  2x10/100/1000BaseT § 4  ядра  Intel  Rangely, SSD  64  GB § 8  GB DRAM,  16  GB  Flash § Питание  DC § Исполнение:  -­40C  до  60C  без  обдува;;  -­40C  до  70C  с  40LFM;;  -­34C  до  74C  с   200LFM
  59. 59. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59 Тип Стандарт EMI /EMC  Key   standards v EN-­61850-­3  /  IEEE1613    (Power  Substation) v EN 50155,  EN 50121-­4,   EN 50121-­3-­2    (Railway) v EN 60945  /  IEC  60533    (Marine v EN 61131-­2    (Industrial  Controls) v EN 61326    (Electrical  Controls) v EN 61000-­4-­2   (Electro  Static  Discharge),  8KV Air  /  15KV contact v EN 61000-­4-­3   (Electro  Magnetic  field,  10  and  20V/m) v EN 61000-­4-­4   (Fast  Transients  – 4  KV  power  line,  4  KV,  data  line v EN 61000-­4-­5   (Surge-­ 4  KV/2  KV) v EN 61000-­4-­6   (Conducted  Immunity,  10V  /  emf) v EN 61000-­4-­8   (Power  Frequency  MFI  40A /  m,  1000A /  m (1s)) v EN 61000-­4-­9   (Pulse  MFI  )   v EN 61000-­4-­10   (Oscillatory  Magnetic  Field  Immunity) v EN 61000-­4-­11   (AC  power  Voltage   Immunity)  – AC  PS  (50 ms) v EN 61000-­4-­17   (Ripple on  DC  power  port-­ for  DC  PS  only) v EN 61000-­4-­29   (Voltage   Dips  Immunity-­ 10ms  hold  up  time) v EN 61000-­6-­2   (Immunity  for  Industrial  Environments) v EN 61000-­6-­4   (Emissions  for  Industrial  environments) v EN 61000-­6-­1   (Immunity  for  Light  Industrial  Environments) Промышленные сертификации
  60. 60. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60 Варианты внедрений § Вне  полосы § Видимость § Ограничено   воздействие   на  трафик § В  полосе § Видимость § Возможность   блокировать   атаки
  61. 61. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 61 Защитный функционал ASA5506H-X / ISA3000 ► Самый  популярный  межсетевой  экран   ASA  корпоративного  класса  с  функцией   контроля  состояния  соединений ► Система гранулярного мониторинга и контроля приложений (Cisco® AVC) ► Ведущая в отрасли система   предотвращения  вторжений   следующего  поколения  (NGIPS)  с технологией FirePOWER ► Фильтрация URL-адресов на основе репутации и классификации ► Система Advanced Malware Protection с функциями ретроспективной защиты ► Система управления уязвимостями и SIEM Cisco ASA VPN и политики аутентификации Фильтрация URL-адресов (по подписке) FireSIGHT Аналитика и автоматизация Advanced Malware Protection (по подписке) Мониторинг и контроль приложенийМежсетевой экран Маршрутизация и коммутация Кластеризация и высокая доступность Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI Встроенное профилирование сети Предотвращение вторжений (по подписке)
  62. 62. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 62 Поддержка промышленных протоколов
  63. 63. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 63 § Препроцессоры  для  промышленных  протоколов,  например,  для  Modbus,  DNP3   § Возможность  написания  собственных  сигнатур   § Свыше  сотни  встроенных  сигнатур   CitectSCADA OMRON Kingview IGSS Tecnomatix RealWin Iconics Genesis Siemens IntelliCom Cogent RSLogix DAQFactory Beckhoff Measuresoft ScadaPro Broadwin Progea Movicon Microsys Sunway Moxa GE
Sielco
ScadaTec
Sinapsi
D ATAC WellinTech Tridium Schneider  Electric CODESYS Отражение атак на промышленные системы
  64. 64. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 64 Множество встроенных сигнатур и правил корреляции (1:29202)   PROTOCOL-­SCADA  Modbus   read   coil  status   response   -­ too  many  coils (1:29203)   PROTOCOL-­SCADA  Modbus   read   fifo response   invalid  byte  count (1:29204)   PROTOCOL-­SCADA  Modbus   read   holding   register  response   -­ invalid  byte   count (1:29205)   PROTOCOL-­SCADA  Modbus   read   input  registers  response   invalid  byte  count (1:29206)   PROTOCOL-­SCADA  Modbus   read   write  register  response   -­ invalid  byte  count (1:29317)   PROTOCOL-­SCADA  Modbus   invalid  exception   message (1:29318)   PROTOCOL-­SCADA  Modbus   invalid  encapsulated   interface   response (1:29319)   PROTOCOL-­SCADA  Modbus   invalid  encapsulated   interface   request (1:29505)   PROTOCOL-­SCADA  IGSS   dc.exe   file  execution   directory  traversal  attempt (1:29515)   PROTOCOL-­SCADA  ScadaTec   Procyon   Core  server  password  overflow  attempt (1:29534)   PROTOCOL-­SCADA  CODESYS   Gateway-­Server   invalid  memory  access  attempt (1:29954)   PROTOCOL-­SCADA  CODESYS   Gateway-­Server   heap   buffer   overflow  attempt (1:29959)   PROTOCOL-­SCADA  Siemens   SIMATIC  WinCC  flexible  runtime  stack  buffer   overflow  attempt (1:29960)   PROTOCOL-­SCADA  Siemens   SIMATIC  WinCC  flexible  runtime  DoS  attempt (1:29964)   PROTOCOL-­SCADA  Siemens   SIMATIC  WinCC  flexible  runtime  directory  traversal  attempt (1:15071)   PROTOCOL-­SCADA  Modbus   exception   returned (1:15074)   PROTOCOL-­SCADA  Modbus   user-­defined   function   code  -­ 65   to  72 (1:15075)   PROTOCOL-­SCADA  Modbus   user-­defined   function   code  -­ 100   to  110 (1:15389)   PROTOCOL-­SCADA  OMRON-­FINS  memory  area   write  attempt (1:15390)   PROTOCOL-­SCADA  OMRON-­FINS  memory  area   fill  attempt (1:15391)   PROTOCOL-­SCADA  OMRON-­FINS  memory  area   transfer  attempt (1:15713)   PROTOCOL-­SCADA  DNP3  device  trouble (1:15714)   PROTOCOL-­SCADA  DNP3  corrupt  configuration (1:15715)   PROTOCOL-­SCADA  DNP3  event   buffer   overflow  error (1:15716)   PROTOCOL-­SCADA  DNP3  parameter   error (1:15717)   PROTOCOL-­SCADA  DNP3  unknown   object   error (1:15718)   PROTOCOL-­SCADA  DNP3  unsupported   function   code  error (1:15719)   PROTOCOL-­SCADA  DNP3  link  service  not  supported (1:17782)   PROTOCOL-­SCADA  Modbus   write  multiple  registers  from  external   source (1:17783)   PROTOCOL-­SCADA  Modbus   write  single   register  from  external   source (1:17784)   PROTOCOL-­SCADA  Modbus   write  single   coil  from  external   source (1:17785)   PROTOCOL-­SCADA  Modbus   write  multiple  coils  from  external   source (1:17786)   PROTOCOL-­SCADA  Modbus   write  file  record  from  external   source (1:17787)   PROTOCOL-­SCADA  Modbus   read   discrete  inputs   from  external   source (1:17788)   PROTOCOL-­SCADA  Modbus   read   coils  from  external   source (1:17789)   PROTOCOL-­SCADA  Modbus   read   input  register  from  external  source (1:17790)   PROTOCOL-­SCADA  Modbus   read   holding   registers  from  external   source (1:17791)   PROTOCOL-­SCADA  Modbus   read/write   multiple  registers  from  external   source
  65. 65. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 65 Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры Сообщение Unauthorized communications with HMI Сигнатура alert tcp192.168.0.97 any <> ! [192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone other than PLC or RTU -NOTALLOWED"; priority:1; sid:1000000; rev:1;) Резюме Попытка неавторизованной системы подключиться к HMI Воздействие Компрометация системы Информация Подверженные системы PLC;RTU;HMI;DMZ-Web
  66. 66. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 66 Сигнатуры для АСУ ТП – можно и самостоятельно ID сигнатуры Сообщение Unauthorized to RTU Telnet/FTP Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2; reference:DHSINLroadshow- IDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;) Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверу Воздействие Сканирование Компрометация системы управления Информация Подверженные системы RTU
  67. 67. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 67 Сигнатуры для АСУ ТП – можно и самостоятельно ID  сигнатуры Сообщение   Yokogawa  CENTUM  CS  3000  stack  buffer  overflow  attempt Сигнатура alert  tcp  $EXTERNAL_NET  any  -­>  $HOME_NET  20171  (msg:"SCADA  Yokogawa   CENTUM  CS  3000  stack  buffer  overflow  attempt";;   flow:to_server,established;;   content:"|64  A1  18  00  00  00  83  C0  08  8B  20  81  C4  30  F8  FF  FF|";;  fast_pattern:only;;   metadata:policy  balanced-­ips  drop,  policy  security-­ips  drop;;  reference:cve,2014-­0783;;   reference:url,www.yokogawa.com/dcs/security/ysar/YSAR-­14-­0001E.pdf;;   classtype:attempted-­admin;;  sid:30562;;  rev:1;;  ) Резюме Вызов  переполнения  буфера  для  извлечения  команд  привилегированного  режима Воздействие   Извлечение  неавторизованных  команд Информация   http://cve.mitre.org/cgi-­bin/cvename.cgi?name=CAN-­2014-­0783 Подверженные  системы Yokogawa  CENTUM  CS  3000  R3.09.50
  68. 68. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 68 Сигнатуры для АСУ ТП – можно и самостоятельно ID  сигнатуры Сообщение   PROTOCOL-­SCADA   Siemens  SIMATIC  WinCC  flexible  runtime  DoS  attempt Сигнатура   alert  tcp  $EXTERNAL_NET   any  -­>  $HOME_NET   [2308,50523]   (msg:"PROTOCOL-­SCADA   Siemens  SIMATIC  WinCC  flexible  runtime  DoS   attempt";;  flow:to_server,established;;  content:"|00  04  03|";;  depth:3;;   byte_test:4,>,0x410,23,little;;  isdataat:1025;;  reference:cve,2011-­4877;;   reference:url,www.exploit-­db.com/exploits/18166/;;   classtype:attempted-­admin;;   sid:29963;;  rev:1;;  ) Резюме Атака  отказа  в  обслуживание,  недоступность  оборудования,  останов  тех.   процесса Воздействие   Отказ  в  обслуживании Информация   www.exploit-­db.com/exploits/18166/ Подверженные   системы Siemens  SIMATIC PCS
  69. 69. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 69 Сигнатуры для АСУ ТП – можно и самостоятельно ID  сигнатуры Сообщение   Modbus  TCP  -­Unauthorized  Write  Request  to  a  PLC   Сигнатура   alert  tcp  !$MODBUS_CLIENT  any  -­>  $MODBUS_SERVER  502   (flow:from_client,established;;  content:”|00  00|”;;  offset:2;;  depth:2;;   pcre:”/[Ss]{3}(x05|x06|x0F|   x10|x15|x16)/iAR”;;  msg:”Modbus  TCP  – Unauthorized   Write  Request  to  a  PLC”;;  reference:scada,1111007.htm;;  classtype:bad-­ unknown;;   sid:1111007;;  rev:1;;  priority:1;;)   Резюме Неавторизованный  Modbus-­клиент  попытался  записать  информацию  на  PLC  или   иное  устройства   Воздействие   Целостность  системы  Отказ  в  обслуживании   Информация   Подверженные   системы PLC  и  другие  устройства  с  Modbus  TCP  сервером  
  70. 70. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 70 Подрядчик Когда Что Где Как 9:00-­17:00 ноутбук   Ячейка  1 Проводн. Традиционный  RBAC  и   политики HMI Rockwell  Automation Stratix  8000 Коммутатор  доступа  уровня  2   Ввод-­ вывод Контроллер Диск Ячейка/зона  1 Ввод-­ вывод HMI Контроллер Volt PTP Коммутатор   уровня  доступа  2 и Протокол  REP   Ячейка/зона  2 Роль Авторизация Контр. Ячейка  2: Разр.  CIP Разр.  http Ячейка  1: Запрет IED IED Заводская  шина IED IED Шина  процессов Завод Операции SCADA инж АКТИВЫ инж Планиро-­ вание инж Удаленное   управление R Подтв.  авар.  сигн. R Точечная  разметка R Точка  ручного   обновл. R Откр/Закр  HMI R R R Выход  HMI R R R Мониторинг   и  контроль   операций Возможности   для  инноваций ISE  +  промышл.  коммутаторы Отслеживание Безопасный доступ для локальных пользователей
  71. 71. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 71 Безопасный доступ для локальных пользователей Сеть  доступа Контроллер Мультисервисная   шина Производственная  сеть Полевая  сеть Буровая  площадка Трансп.  зона Умные  города Беспроводная   IPS OMS dACL VLAN Тег  группы   безопасности XРоль ИТ-­персонал Поставщик Когда 9:00-­17:00 ВТ Что Ноутбук Ноутбук Где Центр обработки данных Трансп.  зона Как Wi-­Fi Проводн. Wi-­Fi Проводн. Аутенти-­ фикация Камеры IP-­телефоны WWW Согласованная   политика доступа
  72. 72. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 72 Мониторинг и контроль доступа устройств и механизмов • Безопасность  портов  и  централизованное  управление • Реестр  сетевых  индустриальных  систем • Идентификация  и  профилирование  IoT-­устройств IoT-­сети Соотв.  MAC   MAC IP ACL 00:00:23:67:89:ab 10.1.1.1 ABB Сайт1 dc:05:75:92:cd:bd 10.1.2.3 Siemens Сайт2 e4:90:69:34:9d:ab 10.1.2.5 Rockwell Сайт3 Контроллер CIP ABB Сайт1 RTU DNP Siemens Сайт1 IED Modbus Rockwell Сайт2 HMI OCP GE Сайт2 CAУправл. Реестр  — номер  1  среди   20  критических  методов   управления   безопасностью Сенсор  IoT-­устройств (в  будущем) 802.1x Клиент
  73. 73. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 73 Политики  ИБ  для промышленной  сети
  74. 74. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 74 Из чего состоит решение по защите промышленной сети? Уровень  реализации Логический  уровень Концептуальный  уровень Люди Политики Технологии
  75. 75. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 75 Системные   исправления Сегментация сети Антивирусная   защита Реагирование на  инциденты Проактивный   мониторинг Мониторинг   безопасности IPS  / сигнатуры Защита от  угроз Аварийное восстановление Резервное   копирование и  восстановление Непрерывное совершенствование Организация Стабилизация Обнаружение РеагированиеЗащита Белые   и  черные  списки   Черные  списки Сбор   и  управление   журналами   безопасности Обнаружение аномалий Обнаружение вредоносного   ПО Обнаружение   вторжений Политика   безопасности Виртуализация Шифрование KPI  и  аналитика Учет   местонахождения Реестр   процессов Оценка Управление   изменениями Обучение   и  понимание Панели   управления   и  отчеты Фокус  на  ключевых   векторах  атаки  в  рамках   сети  управления   процессами  за  счет   организации   необходимого   контроля  при  помощи   лучших  современных   практик  в  области   безопасности Доступ  и   управление  PCN Физическая   безопасность Промышленные беспроводные   сети Безопасность   портативных устройств До Во  время После ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ Защищенное хранилище Реестр  и   управление   активами Сегментация сети Доступ   и  управление  PCN Защищенное хранилище Разработка политик по ИБ для промышленной сети
  76. 76. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 76 Управление  промышленной  ИБ
  77. 77. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 77 Из чего состоит решение по защите промышленной сети? Уровень  реализации Логический  уровень Концептуальный  уровень Люди Политики Технологии
  78. 78. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 78 Системные   исправления Сегментация сети Антивирусная   защита Реагирование на  инциденты Проактивный   мониторинг Мониторинг   безопасности IPS  / сигнатуры Защита от  угроз Аварийное восстановление Резервное   копирование и  восстановление Непрерывное совершенствование Организация Стабилизация Обнаружение РеагированиеЗащита Белые   и  черные  списки   Черные  списки Сбор   и  управление   журналами   безопасности Обнаружение аномалий Обнаружение вредоносного   ПО Обнаружение   вторжений Политика   безопасности Виртуализация Шифрование KPI  и  аналитика Учет   местонахождения Реестр   процессов Оценка Управление   изменениями Обучение   и  понимание Панели   управления   и  отчеты Фокус  на  ключевых   векторах  атаки  в  рамках   сети  управления   процессами  за  счет   организации   необходимого   контроля  при  помощи   лучших  современных   практик  в  области   безопасности Доступ  и   управление  PCN Физическая   безопасность Промышленные беспроводные   сети Безопасность   портативных устройств До Во  время После ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ Защищенное хранилище Реестр  и   управление   активами Сегментация сети Доступ   и  управление  PCN Защищенное хранилище Управление ИБ с помощью Cisco Secure Ops
  79. 79. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 79 Архитектура Cisco SecureOps Server Firewall Switch Router Hypervisor Identity   Services Patching Anti-­Virus AAA/ TACACS Compliance Reporting Proactive Monitoring Network Health Dashboard Active   Directory Terminal   Services Log   Collection Servers Firewall SecureCenter (Ops  or  Data  Center) SecureSite (Substation,  Rig,  Plant  Floor) Hypervisor Asset   Inventory Patching Anti-­Virus Proactive   Monitoring Event  Log   Collection Secure  File   Delivery Владеет  или  управляет  Cisco Гибкий  provisioning Одна  или  несколько  площадок Обеспечение  SLA’s
  80. 80. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 80 Иные  ИБ-­сервисы
  81. 81. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 81 А также тесты на проникновения и аудиты промышленных сетей Device  Security Security  Hardware Hardware  Security Software  Security Moving  Target  Security Cryptography Penetration  Testing Operational  Security
  82. 82. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 82 Аутсорсинг  ИБАнализ  угроз Operations Продукты  по   ИБ Архитектура  ИБ Исследования Консалтинг «Разведка» И иные сервисы ИБ
  83. 83. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 83 Соответствие требованиям
  84. 84. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 84 Приказ ФСТЭК №31 по защите АСУ ТП • №31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» • Все новые и модернизируемые системы должны создаваться по новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и последующих годов В тех случаях, если КСИИ управляют технологическими процессами Остальные типы КСИИ продолжают подчиняться требованиям ФСТЭК к ключевым системами информационной инфраструктуры
  85. 85. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 85 Отличия в оценке соответствия Особенность Приказ №21 Приказ  №17 Приказ  №31 Оценка  соответствия В  любой  форме  (нечеткость   формулировки  и  непонятное  ПП-­ 330) Только   сертификация  в   системах   сертификации   ФСТЭК  или  ФСБ В  любой  форме  (в соответствии  с  ФЗ-­184) Аттестация Коммерческий оператор  -­ на выбор  оператора Госоператор -­ аттестация Обязательна Возможна,  но  не   обязательна Контроль  и  надзор Прокуратура  – все ФСТЭК/ФСБ – только   госоператоры (РКН  не  имеет   полномочий  проверять   коммерческих  операторов  ПДн) ФСТЭК ФСБ и  ФОИВ,   ответственный  за   безопасность  КИИ   (определяется  в  настоящий   момент)
  86. 86. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 86 ~600 ФСБ НДВ 34 123 Сертификатов   ФСТЭК  на   продукцию  Cisco Сертифицировала   решения  Cisco   (совместно  с  С-­Терра   СиЭсПи) -­-­-­-­ Ждем  еще  ряд  важных   анонсов Отсутствуют  в   ряде  продуктовых   линеек  Cisco -­-­-­-­ На  сертификацию   поданы  новые   продукты Линейки   продукции  Cisco   прошли   сертификацию  по   схеме  «серийное   производство» Продуктовых  линеек   Cisco   сертифицированы  во   ФСТЭК Сертификация решений Cisco по требованиям ИБ

×