Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Вебинар ИБ АСУ ТП NON-STOP. Серия №11

472 views

Published on

Решения Rockwell Automation для обеспечения кибербезопасности промышленных систем автоматизации и управления

Published in: Business
  • Be the first to comment

  • Be the first to like this

Вебинар ИБ АСУ ТП NON-STOP. Серия №11

  1. 1. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Решения Rockwell Automation для обеспечения кибербезопасности промышленных систем автоматизации и управления Алексей Шмидт Главный специалист Отдел промышленной автоматизации
  2. 2. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Наследование традиций 2 1903 1909 ИСТОРИЯ 1907 1994 1965-2013 1991-2013 СЕГОДНЯ Программное обеспечение и услуги для улучшенного управления тех.процессом, математического моделирования и оптимизации. Системы безопасности, предаварийной защиты Программное обеспечение программирования контроллеров, сбора данных, и визуализации ПЛК, Системы Управления и безопасности, Панели оператора, Преобразователи частоты, компоненты автоматизации
  3. 3. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Оптимальные решения для широкого спектра индустрий 3 Автомобилестроение Напитки Химическое производство Развлечения Волокно и текстиль Продукты питания Инфраструктура Фармацевтика Морская промышленность Металлургия Горнодобывающа промышленность, цемент Бытовые и гигиенические принадлежности Нефть и газ Энергетика Печать и издательское дело Технологические процессы Целлюлозно-бумажная промышленность Полупроводники и электроника Шины и резина Водоочистка и водоподготовка
  4. 4. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. СИСТЕМА УПРАВЛЕНИЯ Система учета энергоресурсов ПРОМЫШЛЕННЫЙ Интернет вещей (IIoT) СИСТЕМА УПРАВЛЕНИЯ
  5. 5. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Основные угрозы безопасности Угрозы безопасности влияют на систему управления производственными процессами, безопасность ее работы, интеллектуальную собственность Непреднамеренные действия пользователей Кража данных Неавторизованные действия пользователей Неавторизованный доступОтказ в обслуживании (DoS) Обновления в ПО Неавторизованный удаленный доступ ЧП техногенного и природного характера Саботаж Черви и вирусы
  6. 6. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Defense-in-Depth Требования ИБ определяют технические требования 8  Физическая безопасность – ограничение физического - доступа только для авторизованного персонала: цеха/технологические установки, ШУ, УСО, кабельная инфраструктура, пультовые и проч.  Сетевая безопасность – инфраструктура, МСЭ, системы определения /предотвращения вторжения (IDS/IPS), управляемые коммутаторы, роутеры  Компьютерная защита – управление патчами и обновлениями ОС, антивирусная защита, управление протоколами/сервисами, портами  Безопасность приложения – аутентификация, авторизация, программный аудит (ААА)  Защита устройств – определение изменений, контроль версий, ограниченный доступ
  7. 7. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Connected Enterprise 9 Содружество партнеров Rockwell Automation Интегрирование управление и автоматизация Cisco Сетевые решения, беспроводные технологии и безопасность Panduit Физические компоненты сетевого оборудования VMware Дата-центры Платформы виртуализации ROCKWELL AUTOMATION & ПАРТНЕРЫ Microsoft ОС, БД / Облачные технологии & Информационная безопасность PartnerNetwork Kaspersky Lab Антивирусная защита и информационная безопасность
  8. 8. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Инновационный подход к безопасности в промышленных системах управления Построение решение и продуктов по требованиям безопасности (качество безопасности) 10 Создание выгоды для заказчиков от использования безопасности (ценность безопасности)
  9. 9. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Качество безопасности Тестирование на отказоустойчивость и надежность (R&R)  Ключевая часть исследовательской группы по безопасности  Уменьшение риска для заказчиков  Критично для целей по промышленной безопасности  Определение слабых сторон и уязвимостей  Улучшение отказоустойчивости и надежности  Анализ всех продуктов и решений RA  Использование стандартизованных практик и методик, инструментов (ISA Security Compliance Institute)  Уязвимости продуктов и решений: Исследуем, исправляем, поддерживаем заказчиков. 11
  10. 10. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. 12 12 Ценности безопасности Основные положения Безопасная сетевая инфраструктура Контроль доступа в сеть и определение нежелательных действий Защита контента Защита от просмотра, редактирования и использования специфической информации управляющего приложения Управление политиками доступа Кто, где, когда имеет доступ к приложениям и устройствам Обнаружение несанкционирован ного доступа Определение и регистрация нежелательного использования и изменения управляющего приложения
  11. 11. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Эшелонированная защита 13  Физическая безопасность – ограничение физического доступа - только для авторизованного персонала: цеха/технологические установки, ШУ, УСО, кабельная инфраструктура, пультовые и проч.  Сетевая безопасность – инфраструктура, МСЭ, системы определения /предотвращения вторжения (IDS/IPS), управляемые коммутаторы, роутеры  Компьютерная защита – управление патчами и обновлениями ОС, антивирусная защита, управление протоколами/сервисами, портами  Безопасность приложения – аутентификация, авторизация, программный аудит (ААА)  Защита устройств – определение изменений, контроль версий, ограниченный доступ
  12. 12. Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved. ПО Визуализации и Информационное ПО Распределенная система управления Управление перемещением Управление двигателями Платформы ввода-вывода Инженерное программное обеспечение Программируемые контроллеры автоматизации Панели оператора и промышленные ПК Сетевое оборудование для промышленной сети Многопрофильное управление ДИСКРЕТНОЕ | УПРАВЛЕНИЕ | УПРАВЛЕНИЕ | ВСТРОЕННЫЕ | УПРАВЛЕНИЕ УПРАВЛЕНИЕ ДВИГАТЕЛЯМИ ПЕРЕМЕЩЕНИЕМ ФУНКЦИИ НЕПРЕРЫВНЫМИ БЕЗОПАСНОСТИ ПРОЦЕССАМИ
  13. 13. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Физическая безопасность (безопасность сетевого оборудования) 15  Решения для различных сред передачи (оптика, «медь»)  запирающие, блокирующие устройства для физических портов  Цветовое кодирование портов доступа
  14. 14. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Безопасность промышленных сетей EtherNet/IP для систем управления 16 Структурированная и безопасная промышленная сетевая топология Одноуровневая и открытая промышленная сетевая топология Одноуровневая и открытая промышленная сетевая топология
  15. 15. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. 17 Безопасность промышленных сетей Рекомендуемые архитектуры  Структурированная и безопасная промышленная сетевая топология  Политики безопасности (АСУТП)  Всеобъемлющая система безопасности, а не «лоскутный» подход  Применение промышленных DMZ  Удаленный доступ в систему с политиками безопасности. Сетевая безопасность не должна нарушать работу промышленных систем управления КИУС Catalyst 3750 StackWise Switch Stack МСЭ (Основной) МСЭ (Резерв) ЦУД HMI Промышленные DMZ (IDMZ) Enterprise Zone Levels 4-5 Cisco ASA 5500 Контроллерв, В/В, Привода Catalyst 6500/4500 ПП В/В Физические или виртуальные серверы Отказоустойчивая сетевая топология VLANs Стандартные DMZ Контроль доступа в сетевую инфраструктуру Физическая безопасность портов Level 0 - ProcessLevel 1 - Controller Производственный МСЭ:  Сегментация трафика  ACL, IPS, IDS  Сервисы VPN, proxy VLANs, Сегментация Доверенные узлы Сервер аутентификации, AАА (AD) RAS Защита клиента Level 3 – Site Operations Контроллер Управление и диагностика сети ПРЧ Level 2 – Area Supervisory Control Физическая защита контроллера Клиент FactoryTalk Управление угрозами (UTM) Контроллерная защита, Зашифрованные коммуникации Контроллер
  16. 16. Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved. PUBLIC 18 Сетевое оборудование StratixTM предлагает современную платформу с возможностями управления сетевым трафиком, с функциями безопасности для построения любых приложений: от простых до сложных. Набор решений включает в себя продукты беспроводных технологий, в “пристаночном” исполнении, для монтажа в стойку и моноблочного исполнения. Средства конфигурации включают в себя в том числе инструменты, знакомые ИТ профессионалам, средства интеграции производственных и корпоративных систем. Stratix 8000™/Stratix 8300™ …и АСУП Отвечает требованиям АСУТП… Stratix 5900™ Stratix 2000™ Stratix 5100™ Stratix 5700™ 1783-NATR ArmorStratix™ 5700 Продукты сетевой инфраструктуры и безопасности Stratix 5400™ Stratix 5410™  Встроенные технологии Cisco Cisco – лидер в области управления сетями
  17. 17. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Ценность безопасности Сетевое оборудование Stratix Управление производительностью сетевой инфраструктуры  QoS – Quality of Service – специализированные конфигурации для поддержки приложений дискретной автоматизации, задач ПАЗ, управлению перемещением, непрерывными и периодическими процессами на основе протокола CIP и сети Ethernet/IP  IEEE1588 (CIP Sync) – имплементация протокола IEEE 1588 для синхронизации точного времени всех устройств на сети EtherNet/IP Простота в проектировании, запуске в работу и обслуживании  DHCP на порт - специализированные IP адреса на порт, для сетевой идентификации узлов в системе управления  Диагностика кабельных соединений - обрыв, замыкание, наводки и др. с передачей на уровень управляющего контроллера  Трансляция сетевых адресов – NAT – преобразование адресов 1:1 IP для объединения одинаковых технологических установок в единую сетевую архитектуру. Специально разработаны для применения в промышленных сетях EtherNet/IP
  18. 18. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Ценность безопасности Сетевое оборудование Stratix Защита узлов системы управления  Защита приложения и управление контроллером  Контроллер управляет портами (on/off)  Специальные теги идентификации неавторизованных устройств  Конфигурируемая безопасность портов  Предконфигурируемые настройки безопасности (smartports)  Количество устройств на порт  Аутентификация MAC ID Защита сетевой инфраструктуры предприятия  Шифрование административного трафика  VPN, SSHv2, SNMPv3 и HTTPS  Дополнительные функции безопасности  802.1x аутентификация пользователей  Многоуровневая парольная защита  Списки контроля доступа (ACLs) для политик безопасности для портов  Централизованная аутентификация TACACS+ и Radius Простые инструменты для защиты узлов системы управления – дополнительные функции для соответствия ИТ стандартам и политикам безопасности
  19. 19. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Примеры продуктов и решений 21
  20. 20. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Эшелонированная защита 22  Физическая безопасность – ограничение физического доступа - только для авторизованного персонала: цеха/технологические установки, ШУ, УСО, кабельная инфраструктура, пультовые и проч.  Сетевая безопасность – инфраструктура, МСЭ, системы определения /предотвращения вторжения (IDS/IPS), управляемые коммутаторы, роутеры  Компьютерная защита – управление патчами и обновлениями ОС, антивирусная защита, управление протоколами/сервисами, портами  Безопасность приложения – аутентификация, авторизация, программный аудит (ААА)  Защита устройств – определение изменений, контроль версий, ограниченный доступ
  21. 21. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Ценность безопасности Несанкционированное вмешательство  Решение от Rockwell Automation включает в себя:  Цифровые подписи ВПО  ПО для аудита FactoryTalk AssetCentre  Логирование и определение изменений в в контроллере  Программные блоки с высоким уровнем интеграции 23 Определение несанкционированного вмешательства позволяет пользователям быстро определить изменения в системе управления
  22. 22. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Несанкционированное вмешательство ВПО с цифровой подписью  Защита ВПО от случайного или преднамеренного повреждения  Проверка достоверности ВПО (оно выпущено производителем) Когда было это представлено:  Все новые продукты имеют ВПО с цифровой подписью (Новые поколения контроллеров, сетевого оборудования и проч.)  Новые версии ВПО существующих продуктов (коммуникационные модули и др.) Каким образом это работает: Rockwell Automation выпускает ВПО со специализированным цифровым ключом  При обновлении ВПО устройства локально проверяют ВПО со свободно распространяемыми ключами и встроенными в ВПО  Если ВПО были изменены и ключи не совпадают, то процедура обновления/изменения ВПО не происходит
  23. 23. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Несанкционированное вмешательство Определение изменений в контроллере • Каждый контроллер (Logix) предоставляет специальный параметр - Change Detection Audit Value • При любом действии, которое может повлиять на контроллер – параметр изменяется • Параметр доступен для контроля в инженерном ПО, в других информационных пакетах, даже доступен для межконтроллерного обмена. • События для изменения параметра могут быть сконфигурированы. 25
  24. 24. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Несанкционированное вмешательство Определение изменений в контроллере  Параметр храниться в каждом контроллере (специальный лог)  Пример информационного ПО - FactoryTalk® AssetCentre, для контроля изменений в контроллере. 26
  25. 25. Copyright © 2016 Rockwell Automation, Inc. All rights reserved.  Программные блоки позволяют вам генерировать цифровые подписи для программных инструкций  Программные блоки используются:  В отраслях с большой долей регулирующих документов для аудита и сериализации  Фармацевтика, пищевая, специальная металлургия  Для контроля изменения и ревизий в стандартизованных библиотеках Несанкционированное вмешательство Программные блоки с высоким уровнем интеграции
  26. 26. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Ценность безопасности Защита приложения  Решение от Rockwell Automation включает в себя:  Защита управляющего кода Logix Source Protection  Контроль доступа к данным  Служба FactoryTalk Security 28 Защита приложения позволяет пользователям контролировать доступ к специфическим объектам системы управления (контроллеры, ЧМИ и проч.)
  27. 27. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Защита приложения Защита управляющего кода 29  Парольная защита любой программы или дополнительной (Add-On) инструкции
  28. 28. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Защита приложения Контроль доступа к данных  Атрибут для внешнего доступа – Чтение/запись и др. (Read/Write, Read Only, None)  Контроль тегов для изменения с помощью HMI или внешнего программного обеспечения.  Атрибут для констант  Контроль изменения значения тега в приложении контроллера  Изменения данных констант отображаются в параметре «Change Detection»  Служба FactoryTalk Security может контролировать параметры доступа к изменениям данного атрибута констант 30
  29. 29. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Защита приложения: Служба FactoryTalk Security Данная служба используется: Для управления внутренними угрозами информационной безопасности путем аутентификации пользователей и авторизации их для использования программного обеспечения Rockwell Automation для доступа к элементам системы управления (контроллерам, ПО, в/в и т.д.) Предоставляется централизованное управления проверки пользователей, их запросов на выполнение каких либо действий в системе управления. • Аутентификация пользователей • Авторизация на использование приложений • Авторизация на доступ к устройствам Репозиторий FactoryTalk Directory Все ПО со встроенной службой FactoryTalk Security 31
  30. 30. Copyright © 2016 Rockwell Automation, Inc. All rights reserved.  Администраторы проекта системы управления  Учетные записи  Windows  FactoryTalk  Группы пользователей  Группы, роли  Группы Windows  Серверы, ИС, АРМ  Системные политики  Политики инженерного ПО  Политики устройств 32 Ценность безопасности Защита приложения
  31. 31. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. ИС #2 Пример работы FactoryTalk Security 3333 ИС #1 Logix 5000 Project FactoryTalk Services Служба FT Security Настройки безопасности Logix 5000 Project FactoryTalk Services Настройки безопасности ID = 795D5EF-12... ID = A73R5CG – 89... ID= 795D5EF-12.. ID = 795D5EF-12… EtherNet/IP Совпадение ID’s Несовпадение ID’s Служба FT Security
  32. 32. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Что вы можете сделать сейчас, чтобы снизить риск Используйте 8 шагов для улучшения безопасности и надежности: 1. Доступ к управлению имеет только тот, кто авторизован на доступ (н-р к сетевой инфраструктуре) 2. Применяйте МСЭ и системы определения /предотвращения вторжения (IPS) 3. Используйте антивирусное ПО и обновляйте систему 4. Управляйте и защищайте учетные записи 5. Переведите ключи процессоров в режим Run 6. Используйте встроенные возможности по безопасности в продукты Rockwell Automation (н-р FactoryTalk Security) 7. Разработайте политики работы с переносные запоминающие 8. Блокируйте порты доступа в сеть (физические ключи)
  33. 33. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Rockwell Automation Ресурсы и дополнительная информация Обучающие семинары Мультиме- дия и видео Специали- зированный сайт Ассоциация Industrial IP Advantage Университет SANS Непрерывное обучение из множества источников
  34. 34. Copyright © 2016 Rockwell Automation, Inc. All rights reserved. Алексей Шмидт Главный специалист Отдел промышленной Автоматизации AS_info@rockwellautomation.com СПАСИБО ЗА ВНИМАНИЕ!

×