Частые вопросы владельцев и офицеров безопасности промышленных объектов: а существуют ли вообще на самом деле киберугрозы промышленным объектам? А не раздута ли тема? А относятся ли угрозы критической инфраструктуре, о которых так много говорят, к моему промышленному объекту? На основе каких данных все-таки строить модель угроз, чтобы она отражала действительность, и на ее основе можно было бы принимать решения о планировании и выполнении мероприятий по защите и их обоснованном финансировании? И как держать руку на пульсе и узнавать о появлении релевантных угроз моему предприятию и эффективных мерах противодействия? Ответить на эти вопросы могут помочь такие развивающиеся понятия как разведка киберугроз (Cyber Threat Intelligence) и обмен информацией об кибеугрозах (Сyber Threat Information Sharing). В докладе будет сделан обзор понятий, их преимуществ, особенностей и сложностей, а также примеров реализации, с акцентом на критическую промышленную инфраструктуру

1. 1
Разведка угроз
промышленных предприятий
Антон Шипулин
CISSP, CEH, CSSA
Менеджер по развитию решений по
безопасности критической инфраструктуры
Лаборатория Касперского

2. 2
ОБНАРУЖИТЬ И ПРЕДОТВРАТИТЬ БЕДУ
ПОКА НЕ СТАЛО СЛИШКОМ ПОЗДНО
• Угрозы внутри
• Угрозы на пороге
• Зарождение угрозы

3. 3
ОТСУТСТВИЕ МОНИТОРИНГА ПРОМЫШЛЕННЫХ СЕТЕЙ
https://www.sans.org/reading-room/whitepapers/analyst/2016-state-ics-security-survey-37067

4. 4
СУТЬ ПРОЦЕССА РАЗВЕДКИ УГРОЗ
321
Сбор данных об
угрозах с внешних
источников
Обработка и
анализ данных
Подготовка
релевантных
результатов

5. 5
ИСТОЧНИКИ ДАННЫХ ОБ УГРОЗАХ
• IRC каналы
• Threat фиды других сервисов
• Депозитарии кода (GitHub, Exploit-db, …)
• Хакерские форумы (deep, dark web)
• Репутационные базы/сервисы (Kaspersky Security Network, …)
• Публичные сервисы (социальные сети, новостные ресурсы, …)
• Специальные поисковые системы (Shodan, Сensys, Vulners, …)
• Базы уязвимостей (ICS-CERT, CVE, …)
• Сенсоры, honeypots (Conpot, GasPot, GridPot …)
…

6. 6
НОВОСТИ / ИНЦИДЕНТЫ

7. 7
ИЗМЕНЕНЕНИЯ ГОСУДАРСТВЕННОМ УРОВНЕ
Указ Президента РФ от 31 декабря 2015
"О Стратегии национальной безопасности Российской Федерации"
…
43. Основными угрозами государственной и общественной безопасности являются:
…
деятельность террористических и экстремистских организаций, направленная на … уничтожение или
нарушение функционирования военных и промышленных объектов, объектов жизнеобеспечения
населения, транспортной инфраструктуры, устрашение населения, в том числе путем … нарушения
безопасности и устойчивости функционирования критической информационной инфраструктуры
Российской Федерации;
МЧС России "Прогноз чрезвычайной обстановки на территории Российской
Федерации на 2016 год" от 24. 12. 2015 г
…
Кибертерроризм. Учитывая, что в настоящее время уровень информационной
безопасности не соответствует уровню угроз в данной сфере, в 2016 году возможно
повышение возможных хакерских атак с целью создания условий для возникновения
техногенных ЧС. Из промышленных объектов наиболее уязвимы при хакерских атаках
энергетические и коммуникационные сети России

8. 8
ТЕРРОРИЗМ
http://icitech.org/wp-content/uploads/2016/06/ICIT-
Brief-The-Anatomy-of-Cyber-Jihad1.pdf

9. 9
HONEYPOTS

10. 10
SHODAN

11. 11
РЕЛЕВАНТНЫЕ РЕЗУЛЬТАТЫ
https://www.cpni.gov.uk/Documents/Publications/2015/11-June-2015-
Threat%20Intelligence%20-%20Infographic.pdf
Стратегические разведданные
Операционные разведданные
Непрерывное предоставление отфильтрованных и
подготовленных данные об угрозах под профиль и
характеристики организации
• Глобальные/индустриальные тренды
• Новые уязвимости в АСУ ТП
• Новые уязвимости в смежных системах
• Новые инструменты атак
• Вид организации снаружи
• Рекомендации по повышению уровня защищенности
• Рекомендации по новым инструментам защиты
• Информация об обновлениях промышленных систем
• Индикаторы компрометации (IOC)

12. 12
ПРИМЕР РЕЗУЛЬТАТА
https://securelist.ru/analysis/obzor/28866/industrial-cybersecurity-threat-landscape/

13. 13
ПОВЕРХНОСТЬ АТАКИ
https://icsmap.shodan.io/

14. 14
THREAT INFORMATION SHARING
“one organization’s detection to
become another’s prevention”
“Обнаружение в одной
компании становится
предотвращением в другой”

15. 15

16. 16

17. 17
INFORMATION SHARING AND ANALYSIS CENTER
● Automotive (Auto-ISAC)
● Aviation (A-ISAC)
● Defense Industrial Base (DIB-ISAC)
● Emergency Services (EMR-ISAC)
● Electricity (E-ISAC)
● Maritime Security ISAC
● National Health (NH-ISAC)
● Nuclear (NEI)
● Oil and Gas (ONG-ISAC)
● Public Transit (PT-ISAC)
● Supply Chain (SC-ISAC)
● Surface Transportation (ST-ISAC)
● Water ISAC (Water-ISAC)
● Industrial Control System (ICS-ISAC)
http://www.nationalisacs.org/member-isacs

18. 18
ГОССОПКА

19. 19
ПРОМЫШЛЕННЫЙ CERT "ЛАБОРАТОРИИ КАСПЕРСКОГО"
http://kommersant.ru/doc/3077603

20. 20 http://www.itsec.ru/newstext.php?news_id=111706

21. 21
ПП РФ ОТ 02.10.2013 Г. N 861 "ОБ УТВЕРЖДЕНИИ
ПРАВИЛ ИНФОРМИРОВАНИЯ СУБЪЕКТАМИ ТЭК
ОБ УГРОЗАХ СОВЕРШЕНИЯ И О СОВЕРШЕНИИ
АКТОВ НЕЗАКОННОГО ВМЕШАТЕЛЬСТВА НА
ОБЪЕКТАХ ТЭК"

22. 22
МОТИВАЦИЯ
Не найдется ли у вас времени
поделиться информацией с вашим
локальным ведомством и ISAC?
• Угроза наказания / Поощрение и помощь
• Бюрократия / Удобство
• Отдавать / Получать выгоду
• Конфиденциальность / Доверие
• Много/ Мало

23. 23
Д - ДОВЕРИЕ
https://twitter.com/beerisac

24. 24
САМОДЕЯТЕЛЬНОСТЬ

25. 25
ВЫВОД
• Мониторинга много не бывает
• Используйте сервисы разведки
• Делитесь информацией с выгодой

26. 26
Вопросы?
Антон Шипулин
CISSP, CEH, CSSA
Менеджер по развитию
решений по безопасности
критической инфраструктуры
Лаборатория Касперского
Москва, Ленинградское шоссе, д.39А, стр.3
Т: (495) 797 8700 #1746
Anton.Shipulin@kaspersky.com
www.kaspersky.ru