Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП

1,078 views

Published on

В ходе вебинара была рассмотрена Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП, предпосылки к её внедрению на предприятии, цели создания, принципы построения, архитектура и основные функции САМСИБ.

Дата вебинара 10 декабря 2015 года.
Запись доступна на канале YouTube: https://youtu.be/RowwYe8aFQU
Докладчик: Антон Ёркин

Published in: Technology
  • Be the first to comment

  • Be the first to like this

ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информационной безопасности (САМСИБ) АСУ ТП

  1. 1. 10.12.2015 Антон Ёркин Руководитель направления УЦСБ Система анализа и мониторинга состояния ИБ в АСУ ТП
  2. 2. Содержание 1. Актуальные угрозы ИБ АСУ ТП 2. Направления обеспечения ИБ АСУ ТП 3. Назначение, архитектура и функции САМСИБ 2
  3. 3. Предпосылки угроз ИБ в АСУ ТП 1. Применение современных сетевых технологий 2. Применение незащищенных промышленных протоколов (MODBUS, PROFIBUS и т.д.) поверх традиционных сетевых (TCP/IP) OSI Протокол 7 Modbus 6 - 5 - 4 - 3 - 2 Modbus 1 RS-485, RS-232 OSI Протокол 7 Modbus 6 - 5 - 4 TCP 3 IP 2 Ethernet 1 3
  4. 4. Предпосылки угроз ИБ в АСУ ТП 3. Применение традиционных ИТ-решений 4. Исследования безопасности АСУ ТП 2010 StuxnetГод Уязвимости 2005-2 010 20 Год Уязвимости 2011-2 015 >300 4
  5. 5. Протоколы, в рамках которых произошел инцидент в АСУ ТП* 5 * - Репозиторий инцидентов безопасности в АСУ ТП (RISI, США), данные из статьи http://lukatsky.blogspot.ru/2014/03/blog-post_26.html 5 из 30
  6. 6. Распределение уязвимостей по уровням АСУ ТП* Уровень диспетчерского управления – 41,6% Верхний уровень управления – 58,1% Средний уровень управления – 0,3% Нижний (полевой) уровень управления – 0% * - результаты исследования RED TIGER Security (США) по заданию АНБ США 6
  7. 7. Актуальные угрозы ИБ АСУ ТП* 1. Несанкционированное использование технологий удаленного доступа 2. Атаки через офисную (корпоративную) сеть передачи данных 3. Атаки на традиционные IT-компоненты, применяемые в АСУ ТП 4. (D)DoS атаки 5. Человеческие ошибки и злонамеренные действия персонала 6. Распространение вредоносного ПО с помощью съемных носителей информации и устройств, подключаемых к сети АСУ ТП 7. Перехват, искажение и передача информации, циркулирующей в сети АСУ ТП 8. Неавторизованный доступ к компонентам АСУ ТП 9. Атаки на сеть передачи данных АСУ ТП 10.Отказы оборудования, форс-мажор * - «BSI-Publications on Cyber-Security | Industrial Control System Security – Top 10 Threats and Countermeasures» 7
  8. 8. Актуальные направления защиты Класс мер по обеспечению ИБ Превентивные Детектирующие Корректирующие Обеспечение сетевой безопасности Применение средств резервного копирования и восстановления Безопасная настройка компонентов Управление конфигурациями и изменениями Управление доступом Регистрация и сбор событий безопасности Защита от вредоносного ПО Контроль защищенности Организационные меры (Политика ИБ, обучение персонала, расследования) Физическая безопасность и ИТСО 8
  9. 9. Актуальные направления защиты Класс мер по обеспечению ИБ Превентивные Детектирующие Корректирующие Обеспечение сетевой безопасности Применение средств резервного копирования и восстановления Безопасная настройка компонентов Управление конфигурациями и изменениями Управление доступом Регистрация и сбор событий безопасности Защита от вредоносного ПО Контроль защищенности Организационные меры (Политика ИБ, обучение персонала, расследования) Физическая безопасность и ИТСО Допускает унифицированную реализацию Большая разнообразность и зависимость от конечной системы Целесообразно реализовывать как элемент АСУ ТП 9
  10. 10. Актуальные направления защиты Класс мер по обеспечению ИБ Превентивные Детектирующие Корректирующие Обеспечение сетевой безопасности Применение средств резервного копирования и восстановления Безопасная настройка компонентов Управление конфигурациями и изменениями Управление доступом Регистрация и сбор событий безопасности Защита от вредоносного ПО Контроль защищенности Организационные меры (Политика ИБ, обучение персонала, расследования) Физическая безопасность и ИТСО Допускает унифицированную реализацию Большая разнообразность и зависимость от конечной системы Целесообразно реализовывать как элемент АСУ ТП САМСИБ - система анализа и мониторинга состояния ИБ 9
  11. 11. Основные функции САМСИБ 10
  12. 12. Сбор и обработка 
 событий ИБ Основные функции САМСИБ • Сбор событий ИБ • Корреляция событий ИБ • Выявление инцидентов ИБ 10
  13. 13. Сбор и обработка 
 событий ИБ Основные функции САМСИБ • Сбор событий ИБ • Корреляция событий ИБ • Выявление инцидентов ИБ Обнаружение 
 сетевых атак и аномалий • Обнаружение атак • Выявление сетевых аномалий 10
  14. 14. Сбор и обработка 
 событий ИБ Основные функции САМСИБ • Сбор событий ИБ • Корреляция событий ИБ • Выявление инцидентов ИБ Контроль состояния ИБ Контроль конфигураций • Сбор конфигураций • Выявление изменений конфигураций Инвентаризация ОЗ • Определение текущего состава ОЗ • Выявление изменений в составе ОЗ • Передача информации об ОЗ в КСУИБ Контроль соответствия 
 требованиям ИБ и контроль защищенности • Проверка ОЗ на наличие уязвимостей • Оценка выполнения требований безопасной конфигурации • Формирование отчетов • Передача отчетов в КСУИБ Обнаружение 
 сетевых атак и аномалий • Обнаружение атак • Выявление сетевых аномалий 10
  15. 15. АСУ ТП Уровень филиала Уровень площадки/комплекса Уровень Администрации Функциональная структура САМСИБ СДКУ, СППДР СДКУ, СЛТМ АСУ ТП, 
 САУ 11
  16. 16. Функциональные блоки САМСИБ Блок Функции блока Размещение в иерархии АСУ ТП Пользователь блока Блок мониторинга • Сбор событий ИБ • Обнаружение атак • Выявление сетевых аномалий • Сбор конфигураций • Определение текущего состава ОЗ • Выявление изменений в составе ОЗ • Проверка ОЗ на наличие уязвимостей Нет Блок корреляции • Корреляция событий ИБ • Выявление изменений конфигураций Администратор ИБ Блок оценки • Выявление инцидентов ИБ • Оценка выполнения требований безопасной конфигурации • Формирование отчетов • Интеграция с КСУИБ Отдел ИБ Уровень Администр. Уровень филиала Уровень площадки Уровень Администр. Уровень филиала Уровень площадки Уровень Администр. Уровень филиала Уровень площадки 12
  17. 17. Режимы функционирования блока мониторинга Функции блока мониторинга Пассивный мониторинг Активный мониторинг Сканирование защищенности Сбор событий ИБ Обнаружение атак Выявление сетевых аномалий Сбор конфигураций Определение текущего состава ОЗ Выявление изменений в составе ОЗ Проверка ОЗ на наличие уязвимостей Пассивный мониторинг: однонаправленное получение информации, мониторинг на основе анализа сетевого трафика, без воздействия на компоненты АСУ ТП Сканирование защищенности: выявление уязвимостей компонентов АСУ ТП Активный мониторинг: взаимодействие с компонентами АСУ ТП (запрос-ответ), сбор конфигураций и событий 13
  18. 18. Варианты реализации САМСИБ Комплекс традиционных средств Комплекс специализирован ных средств отечественной разработки Комплекс специализирова нных средств иностранной разработки Контроль конфигураций компонентов АСУ ПТК Max Patrol DATAPK Industrial Defender Инвентаризация объектов защиты Max Patrol DATAPK Industrial Defender Управление событиями безопасности ArcSight DATAPK Industrial Defender Обеспечение сетевой безопасности (выявление комп. атак) Check Point DATAPK Industrial Defender Автоматизация контроля соответствия требованиям ИБ и контроля защищенности Max Patrol DATAPK Industrial Defender Мероприятия по обеспечению ИБ Вариант реализации 14
  19. 19. Сравнение вариантов реализации Комплекс традиционных средств Комплекс специализированных средств отечественной разработки Комплекс специализированных средств иностранной разработки Требования к вычислительной инфраструктуре Требуется установка агентов на СВТ АСУ ТП Безагентная система Требуется установка агентов на СВТ АСУ ТП Возможности по контролю за нагрузкой на каналы связи • Расписание использования каналов связи • Ограничение полосы пропускания • Расписание использования каналов связи • Ограничение полосы пропускания • Расписание использования каналов связи • Ограничение полосы пропускания Объем передаваемых данных между уровнями иерархии Значительный Минимальный Значительный Параметр сравнения Вариант 15
  20. 20. Сравнение вариантов реализации (2) Комплекс традиционных средств Комплекс специализированных средств отечественной разработки Комплекс специализированных средств иностранной разработки Требования к инженерной инфраструктуре • Монтажный шкаф • Кондиционирование • Гарантированное электроснабжение Соответствуют требованиям компонентов защищаемой АСУ ТП • Монтажный шкаф • Кондиционирование • Гарантированное электроснабжение Степень реализации функций системы Избыточная Достаточная Достаточная Порядок стоимости Параметр сравнения Вариант 16
  21. 21. Реализация САМСИБ Программно-технические средства Реализуемые функциональные блоки Обозначение Наименование Производитель DATAPK (уровня предприятия) ООО «УЦСБ» • Блок анализа • Блок корреляции • Блок мониторинга DATAPK (уровня филиала) ООО «УЦСБ • Блок корреляции • Блок мониторинга DATAPK (уровня технологического комплекса) ООО «УЦСБ • Блок мониторинга 17
  22. 22. Результаты применения Системы анализа и мониторинг состояния ИБ САМСИБ • Раннее выявление попыток осуществления атак • Предоставление полной информации для предотвращения реализации угрозы ИБ • Выявление имеющихся уязвимостей • Эффективный контроль состояния ИБ 18
  23. 23. Результаты применения Системы анализа и мониторинг состояния ИБ Подготовка Реализация Завершение Время САМСИБ • Раннее выявление попыток осуществления атак • Предоставление полной информации для предотвращения реализации угрозы ИБ • Выявление имеющихся уязвимостей • Эффективный контроль состояния ИБ 18
  24. 24. Результаты применения Системы анализа и мониторинг состояния ИБ Подготовка Реализация Завершение Время Stuxnet Больше 1 года САМСИБ • Раннее выявление попыток осуществления атак • Предоставление полной информации для предотвращения реализации угрозы ИБ • Выявление имеющихся уязвимостей • Эффективный контроль состояния ИБ 18
  25. 25. Результаты применения Системы анализа и мониторинг состояния ИБ Подготовка Реализация Завершение Время Stuxnet Больше 1 года САМСИБ • Раннее выявление попыток осуществления атак • Предоставление полной информации для предотвращения реализации угрозы ИБ • Выявление имеющихся уязвимостей • Эффективный контроль состояния ИБ 18
  26. 26. Благодарю за внимание! Антон Ёркин
 
 ООО «УЦСБ»
 620026, Екатеринбург, ул. Ткачей, д.6
 Тел.: +7 (343) 379-98-34
 Факс: +7 (343) 382-05-63
 ayorkin@ussc.ru
 www.USSC.ru


×