1. Антон Шипулин
Руководитель проектов по информационной безопасности
Москва, 2 декабря 2015
ОБЗОР
ТЕХНИЧЕСКИХ РЕШЕНИЙ
КИБЕРБЕЗОПАСНОСТИ АСУ ТП
CISSP, CEH, CSSA, Project+
12. /3012
КОНТРОЛЬ ДОСТУПА АДМИНИСТРАТОРОВ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Север контроля доступа
привелегированных пользователей
Протокол
управления
Протокол
управления
Служба
безопасности
Уведомления
Контроль
• Разграничение доступа и мониторинг
активности административного персонала
систем (вендоры, подрядчики).
• Едина точка доступа к контролируемым
системам, хранение учетных данных
Примеры:
• CyberArk, Wallix, …
• Российские: SafeInspect
13. /3013
УПРАВЛЕНИЕ ДОСТУПОМ К СЕТИ
Ethernet
RS-485
No AV updates
No OS updates
Attacker
NAC сервер
Deny
Deny
• Предотвращение
подключения к сети
посторонних узлов, сетевых
устройств на канальном
уровне.
• Предотвращение
подключения АРМ, не
соответствующих политике
безопасности (обновления,
конфигурация и пр.)
Особенности и сложности:
• NAC не сильно
распространен даже в
офисном сегменте из за
сложности внедрения и
использования
Примеры:
• Cisco, ForeScout, Portnox, …
14. /3014
КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА КАНАЛОВ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
WAN/Internet
Vendor
• Шифрование данных на сетевом
уровне при передачи в
недоваренной среде (вне КЗ)
• Защита от перехвата и
модификации трафика
Примеры:
• Российские: VipNET, С-Терра, …
15. /3015
МНОГОФАКТОРНАЯ АУТЕНТИФИКАЦИИ
• Защита от утечки паролей
• Использование нескольких факторов
• Интеграция с системами безопасности
• Технически применимы не везде
Примеры:
• RSA, VASCO, …
• Российские: Аладдин, Рутокен, Индид
17. /3018
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Система
обнаружения
атак
Служба
безопасности
Копия
трафика
Уведомления об
атаках
Система
предотвращения
атак
Уведомления об
атаках
Атака
ОБНАРУЖЕНИЕ АТАК / IDS
• Пассивный мониторинг трафика
• Обнаружение атак на компоненты
промышленных систем на основе
сигнатур, оповещение администратора.
Примеры:
• Cisco, McAfee, Check Point, HP
• Российские: ViPNet IDS(?), Континент (?)
18. /3019
ОБНАРУЖЕНИЕ СЕТЕВЫХ АНОМАЛИЙ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Служба
безопасности
Пассивный сбор
трафика
Уведомления об
аномалиях
Атакующи
й
Сенсор
Сервер
анализа
Атака
• Пассивный мониторинг
• Формирование профиля нормального
поведения сетевой активности
• Обнаружение посторонних хостов, портов
• Обнаружение атак в т.ч. на 0-day уязвимости
• Обнаружение аномальных команд
управления и параметров в промышленных
протоколах
Примеры:
• Elbit, SecurityMatters, CyberLens, Lancope/Cisco
• Российские: Kaspersky, InfoWatch, Positive Tech
20. /3021
МОНИТОРИНГ СОБЫТИЙ ИБ
• Сбор и анализ событий ИБ с АРМ, прикладных систем, систем безопасности, сетевого
оборудованию, контроллеров. Использование штатных протоколов/интерфейсов.
Установка агентов где требуется и где допустимо.
Примеры:
• HP ArcSight, IBM Qradar, McAfee/Nitro
• Российские: Positive Technologies, …
21. /3022
АНАЛИЗ УЯЗВИМОСТЕЙ
Метод Описание Примеры
Активный
анализ
• Традиционное сканирование хостов и портов,
• Идентификация и верификация уязвимостей,
• Онлайн брутфорс учетных записей,
• Попытки проникновения в сеть из-вне (War-Dialing,
Wardriving)
Ограничения:
Стенды, Технологические окна, Высокоуровневые системы
(не PLC)
• Positive Technologies
• SCADA-аудитор
• …
Пассивный
анализ
• Сбор и анализ сетевого трафика (зеркалирование) на
предмет обнаружения узлов сети, портов, возможных
уязвимостей и учетных записей
• Анализ радиоэфира (WiFi), на предмет обнаружения
незащищенных сетей и несанкционированных сетевых
устройств (точки доступа, Wireless модемы)
Особенности:
Требует большее времени для сбора данных
• Positive Technologies (!)
• Tenable PVS
Прямой
доступ
• Сбор и анализ конфигураций и состояний оборудования
• Сбор «дампов» паролей с последующим анализом
офлайн
• Positive Technologies
22. /3023
АНАЛИЗ ПРАВИЛ СЕТЕВОГО ДОСТУПА
• Наличия межсетевого экрана недостаточно
• Необходимо чтобы он был настроен безопасно!
• Регулярный контроль актуальности правил и
минимальности доступа
• Моделирование возможных сценариев атак
• Составление актуальной карты сети
Примеры:
• Algosec, SkyBox, Tufin, …
23. /3024
• Сбор текущих прошивок, логики процессов с компонент
промышленных систем (контроллеры, сетевое
оборудование, серверы) через стандартные интерфейсы/API
• Сравнение с эталонными версиями и оповещение в случае
отклонения
Примеры:
• Cisco ICS Defender (?), Tripwire File Integrity Monitoring (?)
• Российские: Kaspersky
КОНТРОЛЬ ЦЕЛОСТНОСТИ ДАННЫХ
24. • Структура управления
• Оргструктура объекта
• Структура и состав КТС
• Порядок технологических операций
• Порядок работы защиты и блокировок
• Команды управления, уставки
• …
КОНТРОЛЬ УТЕЧЕК ИНФОРМАЦИИ / DLP
2014. Атака на компьютерную
систему энергетической компании
Korea Hydro and Nuclear Power Co,
оперирующей 23 ядерными
реакторами в Южной Корее.
Украдены подробные схемы
атомных реакторов с описаниями
алгоритмов управления АЭС.
25. /3027
СЕРВИСЫ РАЗВЕДКИ КИБЕР УГРОЗ
• Передача данных о своих системах сервису
• Сервис непрерывно ищет данные об угрозах вашим системам в публичных сетях
• Оповещает заранее о возможных угрозах вашим системам
Примеры:
• Critical Intelligence
• Российские: Bot-Trek Intelligence
27. СПАСИБО
ЗА ВНИМАНИЕ!
Антон Шипулин
Руководитель проектов
по информационной
безопасности
111033, Москва, ул. Волочаевская, д.5, к.1
Т: (495) 974 2274 # 6412 | Ф: (495) 974 2277
E-mail: AnShipulin@croc.ru
croc.ru
CISSP, CEH, CSSA, Project+