Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Актуальные решения по обеспечению безопасности промышленных систем

3,589 views

Published on

Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем»
Доклад «Актуальные решения по обеспечению безопасности промышленных систем»
Антон Шипулин, руководитель проектов направления информационной безопасности КРОК
Подробнее http://www.croc.ru/action/webinars/59878/

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Актуальные решения по обеспечению безопасности промышленных систем

  1. 1. АКТУАЛЬНЫЕ РЕШЕНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРОМЫШЛЕННЫХ СИСТЕМ Антон Шипулин Руководитель проектов по информационной безопасности Москва, 25 февраля 2016
  2. 2. НЕОБХОДИМОСТЬ ТЕХНИЧЕСКИХ МЕР Источник: www.tofinosecurity.com
  3. 3. КЛАССИФИКАЦИЯ РЕШЕНИЙ Технические решения Активные/Блокирование Традиционные Специализированные Пассивные/Мониторинг Традиционные Специализированные
  4. 4. 1. Промышленные межсетевые экраны / Industrial FW 2. Однонаправленные шлюзы / Unidirectional Gateways 3. Защиты конечных узлов / Endpoint Security 4. Контроль доступа администраторов / подрядчиков / PIM 5. Криптографическая защита каналов связи / VPN 6. Управление доступом к сети / NAC 7. Многофакторная аутентификации АКТИВНЫЕ/БЛОКИРОВАНИЕ
  5. 5. ПРОМЫШЛЕННЫЕ МЭ • Фильтрация промышленных протоколов • Устойчивость к агрессивным средам (температура, влажность, ЭМИ) • Крепление (DIN-рейка) • Проект РД ФСТЭК Примеры: • Belden, Cisco, Check Point, Phoenix Contact • Российские: Symanitron, ИнфоТеКС Промышленный Межсетевой Экран HMI SCADA Server Межсетевой экран ДатчикиИсполнительные механизмы Программируемый логический контроллер (PLC) Historian
  6. 6. ФСТЭК: ПРОМЫШЛЕННЫЕ МЭ
  7. 7. ОДНОНАПРАВЛЕННЫЕ ШЛЮЗЫ HMI SCADA Server Межсетевой экран ДатчикиИсполнительные механизмы Программируемый логический контроллер (PLC) Historian Однонаправленный шлюз • Невозможность передачи данных в обратном направлении Особенности: • Исключение других сетевых каналов • Появление несетевых каналов (ноутбуки, носители, и т.д.) • Доработка под нужные протоколы Примеры: • Waterfall Security Solution, Fox DataDiode • Российские: SECURE DIODE, …
  8. 8. ЗАЩИТЫ КОНЕЧНЫХ УЗЛОВ HMI SCADA Server Межсетевой экран ДатчикиИсполнительные механизмы Программируемый логический контроллер (PLC) Historian • Блокирование ВПО • Контроль периферийных устройств (носители, адаптеры) • Контроль запуска приложений Особенности: • Сертификация вендоров АСУ ТП • Потребление ресурсов • Проект РД ФСТЭК Примеры: • Symantec, McAfee, Trend Micro • Российские: Kaspersky
  9. 9. КОНТРОЛЬ ДОСТУПА АДМИНИСТРАТОРОВ HMI SCADA Server Межсетевой экран ДатчикиИсполнительные механизмы Программируемый логический контроллер (PLC) Historian Север контроля доступа привелегированных пользователей Протокол управления Протокол управления Служба безопасности Уведомления Контроль • Разграничение доступа и мониторинг активности административного персонала систем (вендоры, подрядчики) • Едина точка доступа к контролируемым системам, хранение учетных данных Примеры: • CyberArk, Wallix, … • Российские: SafeInspect
  10. 10. 1. Обнаружение сетевых атак и аномалий / IDS / NBAD / DPI 2. Мониторинг событий безопасности / SIEM 3. Мониторинг беспроводных сетей / WIPS 4. Анализ уязвимостей (активный / пассивный / конфигураций) 5. Контроль утечек информации / DLP 6. Анализ правил сетевого доступа 7. Контроль целостности данных 8. Системы ловушки / Honeypots 9. Сервисы разведки кибер угроз ПАССИВНЫЕ/МОНИТОРИНГ
  11. 11. ОБНАРУЖЕНИЕ АТАК И АНОМАЛИЙ Мониторинг аномалий: • Пассивный мониторинг трафика • Формирование профиля нормального поведения сетевой активности • Обнаружение посторонних хостов, портов • Обнаружение атак, в т.ч. на 0-day уязвимости • Обнаружение аномальных команд управления и параметров в промышленных протоколах/состояний процесса Примеры: • Lancope/Cisco, Elbit, Radiflow, Indegy, CyberLens, Sophia, Sentryo, SCADAfence, Symantec • Российские: Kaspersky, Positive Tech, SECURE OUTLINE, InfoWatch, Мониторинг атак: • Пассивный мониторинг трафика • Обнаружение атак на компоненты промышленных систем на основе сигнатур, оповещение администратора • Поддержка промышленных сигнатур Примеры: • McAfee, Trend Micro (HP) TippingPoint, Check Point, Cisco, …
  12. 12. МОНИТОРИНГ БЕСПРОВОДНЫХ СЕТЕЙ • Мониторинг анализ радиоэфира сенсорами • Обнаружение атак на существующие WiFi сети • Обнаружение несанкционированных беспроводных сетей (точки доступа, персональные модемы) Примеры: • AirTight, Fluke, Cisco, Aruba, …
  13. 13. МОНИТОРИНГ СОБЫТИЙ ИБ • Сбор и анализ событий ИБ с АРМ, прикладных систем, систем безопасности, сетевого оборудованию, контроллеров. Использование штатных протоколов/интерфейсов. Установка агентов где требуется и где допустимо • Корреляция событий оповещение об инцидентах ИБ Примеры: • HP ArcSight, IBM Qradar, McAfee/Nitro • Российские: Positive Technologies, …
  14. 14. ИСТОЧНИКИ СОБЫТИЙ ИБ Источник: https://twitter.com/GridCyberSec
  15. 15. АНАЛИЗ УЯЗВИМОСТЕЙ Метод Описание Примеры Активный анализ • Традиционное сканирование хостов и портов, • Идентификация и верификация уязвимостей • Онлайн брутфорс учетных записей • Поддержка промышленного ПО и оборудования Ограничения: • Стенды • Технологические окна • Высокоуровневые системы • Tenable Nessus Российские: • Positive Technologies • SCADA-аудитор Пассивный анализ • Пассивный сбор и анализ сетевого трафика • Выявление узлов сети, портов, уязвимостей, паролей • Поддержка промышленного ПО и оборудования Особенности: • Требует большее времени для сбора данных • Cisco FirePOWER • Tenable PVS Российские: • Positive Technologies Прямой доступ • Сбор и анализ конфигураций и состояний оборудования • Сбор «дампов» паролей с последующим анализом офлайн • Поддержка промышленного ПО и оборудования Особенности: • Доступ через штатные интерфейсы • Tenable Nessus Российские: • Positive Technologies
  16. 16. АНАЛИЗ ПРАВИЛ СЕТЕВОГО ДОСТУПА • Формирование эталонной политики сетевого обмена • Регулярный контроль соответствия правил МЭ эталонной политике • Моделирование возможных сценариев атак • Составление актуальной карты сети Примеры: • Algosec, SkyBox, Tufin, …
  17. 17. • Сбор текущих прошивок, проектов, конфигураций контроллеров, сетевого оборудование, серверов, АРМ через стандартные интерфейсы/API • Сравнение с эталонными версиями и оповещение в случае отклонения Примеры: • Cisco ICS Defender, Tripwire File Integrity Monitoring • Российские: Kaspersky КОНТРОЛЬ ЦЕЛОСТНОСТИ ДАННЫХ
  18. 18. Пример критичных данных: • Структура управления • Оргструктура объекта • Структура и состав КТС • Порядок технологических операций • Порядок работы защиты и блокировок • Команды управления, уставки • … КОНТРОЛЬ УТЕЧЕК ИНФОРМАЦИИ / DLP 2014. Атака на компьютерную систему энергетической компании Korea Hydro and Nuclear Power Co, оперирующей 23 ядерными реакторами в Южной Корее. Украдены подробные схемы атомных реакторов с описаниями алгоритмов управления АЭС.
  19. 19. СЕРВИСЫ РАЗВЕДКИ КИБЕР УГРОЗ • Возможна настройка сервиса под свои объекты (оборудование, адреса сетей) • Анализ источников и выделение данных об угрозах: уязвимости, инциденты, скомпрометированные учетные данные, zero-day эксплоиты, и др. параметры угроз • Настройка уведомлений об угрозах вашим объектам и их параметрах Примеры: • XSense, Critical Intelligence, Recorded Future
  20. 20. • Показывают реальные угрозы основным системам • Отвлекают ресурсы атакующих Особенности: • Должны быть похожи на основные системы (устройства, процессы) • Должны быть корректно настроены Примеры: • Conpot, SCADA honeynet, GridPot (Open Source) СИСТЕМЫ ЛОВУШКИ / HONEYPOTS
  21. 21. OPEN SOURCE Источник: http://www.slideshare.net/chrissistrunk/def-con-23-nsm-101-for-ics
  22. 22. СПАСИБО ЗА ВНИМАНИЕ! Антон Шипулин Руководитель проектов по информационной безопасности 111033, Москва, ул. Волочаевская, д.5, к.1 Т: (495) 974 2274 # 6412 | Ф: (495) 974 2277 E-mail: AnShipulin@croc.ru croc.ru CISSP, CEH, CSSA, Project+
  23. 23. Имя Фамилия Должность автора 111033, Москва, ул. Волочаевская, д.5, к.1 Т: (495) 974 2274 | Ф: (495) 974 2277 E-mail: croc@croc.ru croc.ru СПАСИБО ЗА ВНИМАНИЕ!

×