Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безопасности АСУ ТП

4,517 views

Published on

Презентация с вебинара, посвящённого обзору практики аудитов информационной безопасности промышленных систем автоматизации и управления, проводимых компанией УЦСБ. Рассмотрены особенности и нюансы основных этапов - подготовка технического задания на проведение аудита, сбор, обработка и анализ информации в ходе самого аудита, а также визуализация и представление итоговых результатов.
Дата вебинара 19 ноября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/XwKqgOcLhYA
Докладчик: Алексей Комаров

Published in: Services
  • Be the first to comment

ИБ АСУ ТП NON-STOP. Серия 4. Практика проведения аудитов информационной безопасности АСУ ТП

  1. 1. Практика проведения аудитов информационной безопасности АСУ ТП Алексей Комаров Менеджер по развитию решений Региональный представитель в Москве Уральский Центр Систем Безопасности Вебинар 19 ноября 2015 года
  2. 2. Серия вебинаров ИБ АСУ ТП • Серия 1.Архитектура и основные компоненты АСУ ТП с точки зрения ИБ • Серия 2.Взаимосвязь АСУ ТП с ИТ и основные отличия подходов к обеспечению безопасности • Серия 3.Законодательство и требования регуляторов РФ,международный опыт в области защиты АСУ ТП • Серия 4.Практика проведения аудитов ИБ АСУТП • Серия 5.Построение комплексной системы защиты АСУ ТП • Серия 6.Управление ИБ в АСУ ТП и способы её автоматизации • Серия 7.Система анализа и мониторинга состояния информационной безопасности автоматизированных систем управления • Серия 8.Защита АСУ ТП на примере решения УЦСБ DATAPK • Серия 9.Типовые требования по обеспечению ИБ на примере системы автоматического управления и регулирования компрессорного цеха 2
  3. 3. Материалы вебинаров • Сайт УЦСБ • www.ussc.ru/events/webinar • YouTube • http://www.youtube.com/user/usscpublic • SlideShare • http://www.slideshare.net/USSCru • Вопросы • info@ussc.ru 3
  4. 4. • Что понимаем под аудитом? • Основные предпосылки для проведения аудита • Порядок проведения аудита • Практика проведения аудитов • Статистические результаты проведения аудитов • Выводы по итогам аудита Содержание
  5. 5. Что понимаем по аудитом? • Кто проводит? • На соответствие чему? • Обследование -это аудит? • Пентест -это аудит?
  6. 6. Возможные определения • Аудит информационной безопасности —системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности. • Аудит информационной безопасности —процесс сбора и анализа информации о системе для качественной или количественной оценки уровня её защищённости от атак злоумышленников. 6
  7. 7. Кто и на соответствие чему проводит аудит? • По исполнителю: • внутренний аудит • внешний аудит • комбинированный аудит • Аудит всегда проводится на соответствие чему-то • корпоративный стандарт • законодательные требования • лучшие практики • здравый смысл 7
  8. 8. Обследование,пентест,аудит • Обследование/исследование • По сути -лишь инвентаризация • Пентест (тест на проникновение) • Осуществляется поиск «кратчайшего» пути/путей • Не отличается полнотой и всеобъемлемостью • Аудит • Выявляются наиболее критичные угрозы • Проверяется соответствие • По итогам -рекомендации • Обследование и пентест -лишь этапы аудита,служащие для сбора данных, которые затем анализируются 8
  9. 9. Методы анализа данных в ходе аудита • Анализ рисков • Определяется индивидуальный набор требований безопасности,в наибольшей степени учитывающий особенности конкретной системы,среды её функционирования и существующие угрозы безопасности. • Использование стандартов ИБ • Стандарты определяют базовый набор требований безопасности,а в ходе аудита определяется набор требований стандарта,соответствие которым нужно обеспечить. • Комбинированный подход • Базовый набор предъявляемых требований безопасности определяется стандартом. Дополнительные требования с максимальным учётом особенностей конкретной системы,формируются на основе анализа рисков. 9
  10. 10. Основные предпосылки для проведения аудита • Уязвимость компонентов АСУ ТП • Инциденты ИБ в АСУ ТП • Оценка текущего уровня защищённости • Требования законодательства • Анализ АСУ ТП как объекта
  11. 11. Основные предпосылки для проведения аудита • Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта 11
  12. 12. Уязвимость компонентов АСУ ТП 12 Результаты исследования программного обеспечения 752 различных устрои<ств, поддерживающих низкоуровневыи< протокол HART, источник: Digital Security Число обнаруженных уязвимостей в АСУ ТП, источник: Positive Technologies
  13. 13. Основные предпосылки для проведения аудита • Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта 13
  14. 14. Предпосылки угроз ИБ в АСУ ТП 1.Применение современных сетевых технологий 2.Применение незащищенных промышленных протоколов (MODBUS,PROFIBUS и т.д.) поверх традиционных сетевых (TCP/IP) OSI Протокол 7 Modbus 6 - 5 - 4 - 3 - 2 RTU, ASCII 1 RS-232, RS-485 OSI Протокол 7 Modbus 6 - 5 - 4 TCP 3 IP 2 Ethernet 1 14
  15. 15. Предпосылки угроз ИБ в АСУ ТП 15 3.Применение традиционных ИТ-решений 4.Исследования безопасности АСУ ТП 2010 StuxnetГода Уязвимости 2005-2010 20 Года Уязвимости 2011-2012 162
  16. 16. Актуальные угрозы ИБ АСУ ТП • Несанкционированное использование технологий удаленного доступа • Атаки через офисную (корпоративную) сеть передачи данных • Атаки на традиционные IT-компоненты,применяемые в АСУ ТП • (D)DoS атаки • Человеческие ошибки и злонамеренные действия персонала • Распространение вредоносного ПО с помощью съемных носителей информации и устройств,подключаемых к сети АСУ ТП • Перехват,искажение и передача информации,циркулирующей в сети АСУ ТП • Неавторизованный доступ к компонентам АСУ ТП • Атаки на сеть передачи данных АСУ ТП • Отказы оборудования,форс-мажор 16 Источник: Федеральное управление по информационной безопасности,Германия Industrial Control System Security –Top 10 Threats and Countermeasures
  17. 17. Основные предпосылки для проведения аудита • Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта 17
  18. 18. В АСУ ТП происходят инциденты ИБ 18 Дата Страна Инцидент декабрь 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод, в результате которой предприятию был нанесён ущерб. июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы. февраль 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища. март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании.  июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера сентябрь 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак Некоторые инциденты ИБ АСУ ТП, источники: СМИ http://ZLONOV.ru/category/incidents/
  19. 19. Инциденты ИБ происходят в различных секторах 19 Распределение инцидентов по секторам промышленности в 2014 году, источник: ICS-CERT
  20. 20. Основные предпосылки для проведения аудита • Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта 20
  21. 21. Требования по защите АСУ ТП 21 2005 2007 2011 2012 2013 2014 Система признаков КВО ФСТЭК КСИИ ФЗ №256 Основные направления… О безопасности КИИ РФ Приказ №31 ФСТЭК Требования по ЗИ в АСУ ТП http://ZLONOV.ru/2015/06/ics-security-regulations/
  22. 22. Основные предпосылки для проведения аудита • Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта 22
  23. 23. Зачем заказывают аудит ИБ АСУ ТП? 23 оценка текущего уровня защищенности АСУ ТП ущерб уязвимости угрозы контроль защищенности доступ из смежных сетей идентификация объектов защиты классификация Что такое АСУ ТП? уязвимости классификация угрозы контроль защищенности ущерб ущерб ущерб угрозы
  24. 24. Порядок проведения аудита • Цели и задачи аудита • Состав работ по аудиту • Стадии и роли в ходе аудита
  25. 25. Цели аудита • Качественно проведённый аудит ИБ АСУ ТП позволит достичь следующих целей: • получить объективную и независимую оценку текущего уровня обеспечения ИБ АСУТП,с учетом корпоративных и отраслевых документов,требований законодательства РФ и опыта лучших мировых практик; • запланировать реализацию комплекса мер,направленных на повышение уровня защищённости АСУ ТП; • выделить и обосновать актуальные технические требования к СЗИ АСУ ТП. 25
  26. 26. Задачи аудита • обследование организационных и технических мер обеспечения ИБ АСУ ТП; • анализ защищённости АСУТП в виде тестирования эффективности принятых защитных мер; • оценка соответствия положениям корпоративных и отраслевых документов, требованиям законодательства РФ и международных стандартов в области ИБ АСУ ТП; • анализ угроз ИБ и уязвимостей ИБ АСУ ТП,разработка модели угроз ИБ АСУ ТП; • разработка организационно-технических рекомендаций (плана) по повышению уровня ИБ АСУ ТП; • разработка задания на проектирование и технических требований к СЗИ АСУ ТП. 26
  27. 27. Состав работ по аудиту.Стадии и роли в ходе аудита. 27
  28. 28. Состав работ по аудиту.Стадии и роли в ходе аудита. 28
  29. 29. Состав работ по аудиту.Стадии и роли в ходе аудита. 29
  30. 30. Практика проведения аудитов • Важные нюансы при составлении ТЗ • Особенности сбора данных • Ограничения тестирований на проникновение • Подход к моделированию угроз • Модель нарушителя и сценарии реализации угроз • Варианты оценки ущерба • Представление результатов
  31. 31. Важные нюансы при составлении ТЗ • Границы проведения аудита • Перечень АСУ ТП -задан/должен быть определён • Глубина аудита -инструментальный контроль? • Результаты аудита • Результаты аудита ИБ АСУ ТП -документ для руководства • Отчёт об обследовании АСУ ТП • Результаты оценки соответствия требованиям и анализа угроз и уязвимостей АСУ ТП • План защиты АСУ ТП • Квалификация участников • Наличие лицензий ФСТЭК/ФСБ • Опыт аналогичных работ • Наличие квалифицированного персонала и материально-технических ресурсов • Качество технической части предложения 31
  32. 32. Особенности некоторых этапов аудита 32 Обследование: Сбор данных Обследование: Тестирование на проникновение Моделирование угроз Представление результатов
  33. 33. Сбор данных 33 задачи Анализ документации Интервьюирование Инструментальное обследование кого опрашивать? проекта нет или утерян нельзя использовать стороннее ПО Проект ЭД журнал ТО Оператор Имя: Иван Иванов Год рождения: 1975 Образование: среднее Инженер КИПиА Имя: Петр Иванов Год рождения: 1980 Образование: высшее Разработчик Имя: Степан Широков Год рождения: 1984 Образование: высшее • Технологический регламент • Инструкции персонала • Осмотр и документирование • Встроенные средства системного и прикладного ПО Программа обследования
  34. 34. Тестирование на проникновение 34 задачи 1. Разработка Программы и выбор инструментов 2. Проникновение в защищаемый 
 сегмент 3. Демонстрация
 атак только до границы сегмента АСУ ТП на стенде разработчика Разработчик Имя: Степан Широков Год рождения: 1984 Образование: высшее
  35. 35. Моделирование угроз 35 Модель нарушителя Сценарии реализации Оценка ущерба
  36. 36. Модель нарушителя 36 Контролируемая зона Пост контроля и управления Аппаратная Оператор Сервисные организации Преступные элементы Пользователи смежных систем Обслуживающий персонал САУ Подрядные организации Администраторы смежных систем
  37. 37. Сценарии реализации 37 Несанкционированное подключение съемного носителя Заражение вредоносным ПО Отказ функции управления Атака на отказ в обслуживании ПЛК НСД в технологическую сеть Аварийный останов Установка постороннего ПО на АРМ оператора
  38. 38. Оценка ущерба 38 Информационная Безопасность Промышленная Безопасность
  39. 39. Представление результатов 39
  40. 40. Схема структурная 40
  41. 41. Схема функциональная 41 Сервер SCADA ПЛК ТОУ АРМ оператора Вышестоящие и смежные системы – производственные задачи – параметры ТП – команды управления ТП – уставки – параметры ТОУ – прямое управление ТОУ
  42. 42. Визуализация сценариев реализации угроз ИБ 42
  43. 43. Статистические результаты проведения аудитов • Статистика по проведённым аудитам • Применяемые технические меры защиты • Основные организационные мероприятия • Комплекс мер по физической безопасности
  44. 44. Источники данных • Результаты аудитов ИБ АСУ ТП,выполненных компанией УЦСБ: • В предприятиях металлургической отрасли и ТЭК • Более 30 производственных объектах • Включали более 150 АСУ ТП 44
  45. 45. Направления оценки защищённости 45 Организационные мероприятия Физическая безопасность Технические меры защиты
  46. 46. Технические меры защиты 46 Сетевая безопасность • Обеспечивается для 88% объектов • Для 17% АСУ ТП есть удаленный доступ из корп. сети Встроенные механизмы защиты • HMI – аутентификация, режим киоска, ограничения доступа к меню • Системное ПО – по умолчанию • ПЛК – отключены Антивирусная защита • Применяется в 25% АСУ ТП • Обновляется в 11% АСУ ТП Обновления • Своевременные для 8% АСУ ТП ✓
  47. 47. Организационные мероприятия 47 Организационно- распорядительная документация • Присутствует у 100% предприятий Специалисты ИБ на производственных объектах • Присутствуют на 15% объектов Контроль выполнения требований ИБ подрядчиками • Не осуществляется ✓
  48. 48. Физическая безопасность 48 Применяется комплекс мер физ. безопасности по причине: • Требований законодательства • Внутренних требований • Рисков хищения продукции Но бывает и так: ✓ Операторная АСУ ТП
  49. 49. Выводы по итогам аудита • План защиты АСУ ТП • Технические средства vs Организационные меры • Меры повышения защищённости
  50. 50. План защиты АСУ ТП -пример • Рекомендации по повышению уровня защищённости АСУ ТП • Рекомендации по выполнению требований отраслевых политик по обеспечению ИБ • Организационные мероприятия • Технические мероприятия • Рекомендации по устранению выявленных уязвимостей ИБ АСУ ТП • Рекомендации по устранению уязвимостей на организационном уровне АСУ ТП • Рекомендации по устранению уязвимостей сети передачи данных АСУ ТП • Рекомендации по устранению уязвимостей прикладного ПО АСУ ТП • Рекомендации по устранению уязвимостей общесистемного ПО АСУ ТП • Рекомендации по выполнению требований,утвержденных Приказом ФСТЭК России №31 • Организационные мероприятия • Технические мероприятия • Рекомендации по совершенствованию системы ИБ АСУ ТП 50
  51. 51. Не только технические средства защиты • Опыт выполнения проектов по проведению 
 аудитов информационной безопасности
 промышленных систем автоматизации и
 управления на предприятиях ТЭК,в 
 металлургической отрасли и др.
 показывает,что в качестве первоочередных
 мер далеко не всегда требуется внедрение
 технических средств. • Существенно повысить уровень защищённости часто можно и без приобретения дорогостоящих средств защиты.Грамотно выполненный квалифицированными специалистами аудит информационной безопасности АСУ ТП позволяет определить правильные компенсирующие меры,эффективные как с точки зрения обеспечиваемого уровня защищённости,так и с точки зрения экономической обоснованности. • Применение же технических средств защиты должно обязательно учитывать особенности объекта защиты –нужно принимать во внимание различные режимы работы АСУ ТП (штатный/нештатный, автоматизированный/автоматический и т.д.),а также максимально исключить влияние средства защиты непосредственно на сам технологический процесс. 51 Журнал "Information Security/ Информационная безопасность" #4, 2015
  52. 52. Меры повышения защищённости • Первоочередные меры –меры,устраняющие критичные уязвимости ИБ АСУ ТП и реализующие обязательные требования в области ИБ АСУ ТП (отраслевые требования). • Перспективные меры –выполнение организационных и технических требований,утвержденных Приказом ФСТЭК России №31,и модернизация существующей системы ИБ АСУ ТП. • Для обеспечения сохранения инвестиций в существующие СрЗИ и максимального учета отраслевых требований и требований законодательства РФ в области ИБ АСУ ТП,при совершенствовании системы ИБ рекомендуется использовать комплексный подход,заключающийся в создании комплексной системы защиты информации (КСЗИ) АСУ ТП. 52
  53. 53. • Предпосылки для проведения аудита: уязвимости,угрозы,инциденты, внутренние требования,законодательство,«что это?» • Составление ТЗ на проведение аудита -важный этап • Положительная практика проведения аудитов –она существует! • Результаты проведения аудитов могут быть наглядными и объективными • Компенсирующие меры не обязательно должны быть техническими • Комплесный подход к ИБ АСУ ТП -способ сохранения инвестиций (ИБ АСУ ТП NON-STOP серия 5) Заключение
  54. 54. Спасибо за внимание! 
 
 Алексей Комаров http://ZLONOV.ru @zlonov Компания УЦСБ Тел.: +7 (343) 379-98-34
 E-mail: info@ussc.ru 
 www.USSC.ru

×