Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем»
Доклад «Актуальные решения по обеспечению безопасности промышленных систем»
Антон Шипулин, руководитель проектов направления информационной безопасности КРОК
Подробнее http://www.croc.ru/action/webinars/59878/
8. ЗАЩИТЫ КОНЕЧНЫХ УЗЛОВ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер
(PLC)
Historian
• Блокирование ВПО
• Контроль периферийных устройств
(носители, адаптеры)
• Контроль запуска приложений
Особенности:
• Сертификация вендоров АСУ ТП
• Потребление ресурсов
• Проект РД ФСТЭК
Примеры:
• Symantec, McAfee, Trend Micro
• Российские: Kaspersky
9. КОНТРОЛЬ ДОСТУПА АДМИНИСТРАТОРОВ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Север контроля доступа
привелегированных пользователей
Протокол
управления
Протокол
управления
Служба
безопасности
Уведомления
Контроль
• Разграничение доступа и
мониторинг активности
административного персонала
систем (вендоры, подрядчики)
• Едина точка доступа к
контролируемым системам,
хранение учетных данных
Примеры:
• CyberArk, Wallix, …
• Российские: SafeInspect
10. 1. Обнаружение сетевых атак и аномалий / IDS / NBAD / DPI
2. Мониторинг событий безопасности / SIEM
3. Мониторинг беспроводных сетей / WIPS
4. Анализ уязвимостей (активный / пассивный / конфигураций)
5. Контроль утечек информации / DLP
6. Анализ правил сетевого доступа
7. Контроль целостности данных
8. Системы ловушки / Honeypots
9. Сервисы разведки кибер угроз
ПАССИВНЫЕ/МОНИТОРИНГ
11. ОБНАРУЖЕНИЕ АТАК И АНОМАЛИЙ
Мониторинг аномалий:
• Пассивный мониторинг трафика
• Формирование профиля нормального
поведения сетевой активности
• Обнаружение посторонних хостов, портов
• Обнаружение атак, в т.ч. на 0-day
уязвимости
• Обнаружение аномальных команд
управления и параметров в промышленных
протоколах/состояний процесса
Примеры:
• Lancope/Cisco, Elbit, Radiflow, Indegy,
CyberLens, Sophia, Sentryo, SCADAfence,
Symantec
• Российские: Kaspersky, Positive Tech, SECURE
OUTLINE, InfoWatch,
Мониторинг атак:
• Пассивный мониторинг трафика
• Обнаружение атак на компоненты промышленных
систем на основе сигнатур, оповещение администратора
• Поддержка промышленных сигнатур
Примеры:
• McAfee, Trend Micro (HP) TippingPoint, Check Point, Cisco, …
13. МОНИТОРИНГ СОБЫТИЙ ИБ
• Сбор и анализ событий ИБ с АРМ, прикладных систем, систем безопасности, сетевого оборудованию,
контроллеров. Использование штатных протоколов/интерфейсов. Установка агентов где требуется и где
допустимо
• Корреляция событий оповещение об инцидентах ИБ
Примеры:
• HP ArcSight, IBM Qradar, McAfee/Nitro
• Российские: Positive Technologies, …
15. АНАЛИЗ УЯЗВИМОСТЕЙ
Метод Описание Примеры
Активный
анализ
• Традиционное сканирование хостов и портов,
• Идентификация и верификация уязвимостей
• Онлайн брутфорс учетных записей
• Поддержка промышленного ПО и оборудования
Ограничения:
• Стенды
• Технологические окна
• Высокоуровневые системы
• Tenable Nessus
Российские:
• Positive Technologies
• SCADA-аудитор
Пассивный
анализ
• Пассивный сбор и анализ сетевого трафика
• Выявление узлов сети, портов, уязвимостей, паролей
• Поддержка промышленного ПО и оборудования
Особенности:
• Требует большее времени для сбора данных
• Cisco FirePOWER
• Tenable PVS
Российские:
• Positive Technologies
Прямой
доступ
• Сбор и анализ конфигураций и состояний оборудования
• Сбор «дампов» паролей с последующим анализом офлайн
• Поддержка промышленного ПО и оборудования
Особенности:
• Доступ через штатные интерфейсы
• Tenable Nessus
Российские:
• Positive Technologies
16. АНАЛИЗ ПРАВИЛ СЕТЕВОГО ДОСТУПА
• Формирование эталонной политики сетевого обмена
• Регулярный контроль соответствия правил МЭ эталонной политике
• Моделирование возможных сценариев атак
• Составление актуальной карты сети
Примеры:
• Algosec, SkyBox, Tufin, …
17. • Сбор текущих прошивок, проектов,
конфигураций контроллеров, сетевого
оборудование, серверов, АРМ через
стандартные интерфейсы/API
• Сравнение с эталонными версиями и
оповещение в случае отклонения
Примеры:
• Cisco ICS Defender, Tripwire File Integrity
Monitoring
• Российские: Kaspersky
КОНТРОЛЬ ЦЕЛОСТНОСТИ ДАННЫХ
18. Пример критичных данных:
• Структура управления
• Оргструктура объекта
• Структура и состав КТС
• Порядок технологических операций
• Порядок работы защиты и блокировок
• Команды управления, уставки
• …
КОНТРОЛЬ УТЕЧЕК ИНФОРМАЦИИ / DLP
2014. Атака на компьютерную систему
энергетической компании Korea Hydro and
Nuclear Power Co, оперирующей 23 ядерными
реакторами в Южной Корее. Украдены
подробные схемы атомных реакторов с
описаниями алгоритмов управления АЭС.
19. СЕРВИСЫ РАЗВЕДКИ КИБЕР УГРОЗ
• Возможна настройка сервиса под свои объекты (оборудование, адреса сетей)
• Анализ источников и выделение данных об угрозах: уязвимости, инциденты,
скомпрометированные учетные данные, zero-day эксплоиты, и др. параметры угроз
• Настройка уведомлений об угрозах вашим объектам и их параметрах
Примеры:
• XSense, Critical Intelligence, Recorded Future
20. • Показывают реальные угрозы
основным системам
• Отвлекают ресурсы атакующих
Особенности:
• Должны быть похожи на
основные системы
(устройства, процессы)
• Должны быть корректно
настроены
Примеры:
• Conpot, SCADA honeynet, GridPot
(Open Source)
СИСТЕМЫ ЛОВУШКИ / HONEYPOTS
22. СПАСИБО
ЗА ВНИМАНИЕ!
Антон Шипулин
Руководитель проектов
по информационной
безопасности
111033, Москва, ул. Волочаевская, д.5, к.1
Т: (495) 974 2274 # 6412 | Ф: (495) 974 2277
E-mail: AnShipulin@croc.ru
croc.ru
CISSP, CEH, CSSA, Project+
23. Имя Фамилия
Должность автора
111033, Москва, ул. Волочаевская, д.5, к.1
Т: (495) 974 2274 | Ф: (495) 974 2277
E-mail: croc@croc.ru
croc.ru
СПАСИБО
ЗА ВНИМАНИЕ!
Editor's Notes
Логины, пароли. Проектная, конструкторская, рабочая, пусконаладочная, эксплуатационная и отчетная документация (включая перечни входных/выходных сигналов, описание ПО, описание комплекса ТС, описание организации информационных БД, проектные БД, структурные схемы алгоритмов управления, план размещения оборудования,
PI-диаграммы, схемы электрических соединений, кабельные журналы, протоколы испытаний, перечни несоответствий и пр.).