Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии

Кибербезопасность
Industrial IoT:
мировые тенденции
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2017 Cisco and/or its affiliates. All rights reserved.

• Сайт журналиста Брайна Кребса подвергся DDoS-атаке
мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в
секунду)
• В атаке участвовало множество IoT-устройств – IP-камеры,
маршрутизаторы, DVR (digital video recorder)
• Интернет-провайдер OVH подвергся DDoS-атаке
мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч
IoT-устройств
• В атаке участвовало множество IoT-устройств – IP-камеры и DVR
(digital video recorder)
Что произошло 20 сентября 2016 года?

• Удаленная команда кардиостимулятору
на выпуск разряда в 800 вольт
• Интернет-дефибриллятор
• Червь, распространяющийся через
кардиостимуляторы
• Что насчет массового убийства?
• Дистанционный взлом инсулиновых
помп
Чем известен Барнаби Джек?

А что нам угрожает?

What about a Stuxnet-style exploit?
2009!

Но проблема возникла раньше

Один из первых примеров кибервойн –
1982 год

Кибервойны
Промышленный шпионаж
Конкуренты
Зачем атаковать Industrial IoT?
© 2015 Cisco and/or its affiliates. All rights reserved. 11

Зарубежные покупки Китаем активов ТЭК и
кибератаки на них
Framework for LNG deal with Russia
LNG deal with Uzbekistan
LNG deal with Australia
LNG deal with Australia
LNG deal with France
Finalization of South Pars Phase 11 with
Iran
LNG deal with QatarGas
LNG deal with Shell
LNG deal with Exxon
Shale gas deal with Chesapeake Energy in Texas
Aggressive bidding on multiple Iraqi oil fields at
auction
Purchase of major stake in a second Kazakh oil
company
China-Taiwan trade deal for petrochemicals
Purchase of Rumaila oil field, Iraq, at
auction
McKay River and Dover oil sands deal with Athabasca, Canada
Development of Iran’s Masjed Soleyman oil
field
Oil development deal with
Afghanistan
Purchase of major stake in Kazakh oil company
2012201120102009 20132008
Shady RAT
( U.S.
natural gas
wholesaler
)
Night Dragon
(Kazakhstan, Taiwan,
Greece, U.S.)

Атака на промышленную сеть через
Facebook
Злоумышленник
нашел в Facebook
оператора ночной
смены
«подружился» с
оператором
Нарушитель ищет
персональные
данные оператора
Нарушитель
использовал
социальный
инжиниринг
Оператор
открывает
фейковый линк и
заражается
Нарушитель
скачивает базу
данных SAM &
подбирает пароль
Нарушитель входит
в систему,
запускает
процедуру
shutdown
Оператор
реагирует очень
медленно (не
верит, что это с
ним происходит!)
меняет условия
работы АСУ ТП
Удаленная
площадка теряет
функцию
удаленного запуска
Удаленная
площадка остается
недоступной в
течение 3+ дней
Снижение объемов
переработки
нефтепродуктов

Отчет ICS-CERT за 2016 год

МЧС предупреждал, но в прошлом году

Российские ИБ-вендора тоже
предупреждают
Лаборатория Касперского Positive Technologies

Российские ИБ-вендора предупреждают

Уязвимости в отечественном промышленном
оборудовании находят
• Банк данных угроз и
уязвимостей ФСТЭК России
• Содержит регулярно
обновляемый перечень угроз и
уязвимостей в ПО и «железе»,
используемом,
преимущественно, на объектах
в России
• http:///bdu.fstec.ru

Поэтому все-таки атаки на промышленный
IoT входят в топ мировых рисков

Последние
инциденты

• Атака на АЭС в Японии в 2015-м году (стало известно только
сейчас)
• Неправильное позиционирование зеркал на Ivanpah Solar
Electric System привело к пожару (возможно ли сделать со
злым умыслом?)
• Столкновение поездов в Казахстане и Баварии
(киберпричина?)
• Атака на электроэнергетическую систему Украины с
последующим обвинением России
• Атака на аэропорт «Борисполь»
Последние инциденты ИБ на критической
инфраструктуре

• Обвинение иранцев в DDoS-атаке и взломе плотины около
Нью-Йорка
• Регулярные демонстрации взломов автомобилей
• Атака на систему электроэнергетики Израиля
• Операция Dust Storm по атаке японских объектов ТЭК,
транспорта, финансов и т.п.
• Создание первого червя для PLC Siemens, распространяемого
без ПК
• Обнаружение на немецкой АЭС вируса

• Атака на ЖКХ-компанию Lansing Board of Water & Light в США
• Атака на CMS управления данными о содержимом и
местонахождении кораблей (взлом пиратами контейнеров с
бриллиантами)
• Атака на водоочистную систему Kemuri Water Company
• КНДР атаковало почтовые ящики сотрудников ж/д Южной
Кореи
• Атаки на АСУЗ (СКУД) и медицинские системы/датчики
• Процедура катетеризации сердца пациента была прервана
антивирусом

• Атаки на критическую инфраструктуру Украины
• Атаки на энергосистему Турции
• Подозрения в обращении джихадистов к кибертерроризму
• Европол на ВЭФ в Давосе, Group-IB, французская ANSSI
• Блокировка постояльцев в австрийской отеле Romantik
Seehotel
• Атаки китайцев авиакосмических предприятий России и
Беларуси
• Уволенный обиженный сотрудник удаленно внес изменения в
АСУ ТП бумажной фабрики Port Hudson

В последнее время много
политизированных фейковых новостей

Почему все пока не очень хорошо?

Подключенные системы
Network Automation
Service Assurance
Connected Machines
Edge Analytics Fabric
Location Services
Factory Wireless
Облачные системы
Design Collaboration
Private and Hybrid Cloud
Ecosystem Security
Secure Remote Access
Network Architectures
Network Analytics
Network Security
Изолированные системы
Virtualize Everything
Public, Private & Hybrid Cloud
Объединенные системы
Cloud Analytics Platforms
Factory Network
Factory Security
Machine as a Service
Virtualization & Compute
Factory Collaboration
Asset Management
Supply Chain
Collaboration (SXP)
Разные уровни
автоматизации

Пример: Границы и точки входа на атомной
электростанции в США

АСУ ТП
ИБучие АСУчиватели

Умный
транспорт
Цифровая
подстанция
Smart Grid
Connected
Factories
Mobile
Devices
Connected
Wind Turbines
Smart Street
Lights
Connected
Trucks
Connected Oil
Platforms
Умный
город
Умное
производство
Connected
Traffic Signals
Connected
Machines
Облако /
ЦОД
Connected
Equipment
Connected
Rail
Smart
Buses
Различные объекты защиты

Подключение к Интернет

• Простой промышленного оборудования в результате атаки
вредоносного кода
• Несанкционированное изменение рецептуры или логики
процесса
• Вывод из строя системы управления цепочками поставок
• Перехват управления оборудованием
• Утечка данных о рецептах/логике работы или
характеристиках процесса на производстве
• И куча традиционных офисных угроз
Разные объекты – разные киберугрозы

Разные стандарты кибербезопасности

Рекомендации и требования по ИБ

• Рекомендации FDA по ИБ медустройств
• Рекомендации по ИБ систем управления водным транспортом
• Рекомендации GSMA для разработчиков IoT
• Новый приказ ФСТЭК по межсетевым экранам
• Тип «Д» – промышленные МСЭ
• Базовый уровень ИБ на КВО в Германии
• Отчеты ENISA по Smart Grid, по CIIP и по транспорту
• Рекомендации немецкого BSI по безопасности OPC UA
Новые документы, требования и
рекомендации
…и еще несколько десятков различных стандартов

Цель Cybersecurity Framework
• Унификация подходов по
безопасности
информационных систем в
разных отраслях на
протяжении всего жизненного
цикла
• Унифицированные требования
• Руководство по использованию
международных стандартов
• Февраль 2014
• DCS
• PLC
• RTU
• IED
• SCADA
• Safety Instrumented Systems
(SIS)
• Ассоциированные
информационные системы
• Связанные люди, сети и
машины

Основная парадигма

Основная сетевая модель

Покрываемые CSF направления

Ссылки на другие стандарты

Используемые стандарты
• Стандарты NIST 800-82 и 800-53
• ISA/IEC-62443
• ISO 27001/02
• Стандарты ENISA
• Стандарт Катара
• Стандарт API
• Рекомендации ICS-CERT
• COBIT
• Council on CyberSecurity (CCS)
Top 20 Critical Security Controls (CSC)

Российские требования

Какие документы уже есть?
• Документы ФСТЭК по КСИИ
• Основы госполитики в области
обеспечения безопасности АСУ
ТП КВО
• ФЗ-256
• Указ Президента №31с
• ПП-861 по уведомлению об
инцидентах на объектах ТЭК
• Приказ ФСТЭК №31
• Методические рекомендации по
созданию центров ГосСОПКИ
Разработаны

Законопроект
Внесение в ГосДуму
• Выполнение
требований
ФСБ по
реагированию
на инциденты
• Присоедине-
ние к сетям
электросвяз
и
• Новый
регулятор
(ФСТЭК или
ФСБ)
• Категорирование
объектов КИИ
Декабрь 2016
• Присоединени
е к ГосСОПКЕ

Законопроект
Принятие в первом
чтении
• Исключение из
надзора по ФЗ-
294
• Уголовная
ответственн
ость
• Отнесение к
гостайне
• Выполнение
требований по ИБ
Январь 2016
• Установка
средств
обнаружения
атак на сетях
операторов
связи
Принятие во втором
чтении запланировано
на весну 2017

Планы на ближайшее будущее (в России)
• Законопроект о безопасности критической информационной
инфраструктуры и 20+ подзаконных актов
• 10+ документов ФСБ (по направлению ГосСОПКА)
• Документы Правительства / Минэнерго

Повышение осведомленности
и обучение

Стенды по промышленной ИБ

Киберучения: от мозгового штурма до
реального взлома

Рост числа сертификаций по
промышленной ИБ
GIAC Response and
Industrial Defense (GRID)
ISA/IEC 62443 Cybersecurity
CCNA
Industrial

Появление новых промышленных ИБ
решений
• Нишевые решения по
промышленной ИБ
(преимущественно МСЭ)
• Промышленные ИБ от
ИБ/сетевых производителей
• Решения по ИБ от
производителей средств
промышленной автоматизации
Cisco ISA 3000

Cell/Area Zone
Уровни 0-2
Индустриальная
зона
Уровень 3
Буферная
зона
(DMZ)
Контроль в реальном
времени
Конвергенция
Multicast Traffic
Простота использования
Сегментация
Мультисервисные сети
Безопасность приложений и
управления
Контроль доступа
Защита от угроз
Сеть предприятия
Уровни 4-5
Gbps Link for Failover
Detection
Firewall &
IPS
Firewall & IPS
Application Servers
Cisco
Catalyst Switch
Network Services
Cisco Catalyst
6500/4500
Cisco Cat. 3750
StackWise Switch Stack
Patch Management
Terminal Services
Application Mirror
AV Server
Cell/Area #1
(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2
(Ring Topology)
Cell/Area #3
(Bus/Star Topology)
Controller
Интеграция в сеть предприятия
UC
Wireless
Application Optimization
Web Apps DNS FTP
Internet
Identity Services Engine
Архитектура Ethernet-to-the-Factory (ETTF)

Архитектура ИБ производства от Cisco
WWW Прило
жения
DNS FTP
Интернет
Гигабитный канал
для определения
аварийного
переключения
Межсетевой
экран
(активный)
Межсетевой
экран
(режим
ожидания)
Серверы
производствен
ных
приложений
Коммутатор
уровня доступа
Сетевые сервисы
Коммутаторы уровня
ядра
уровня
агрегации
Управление
исправлениями
Сервисы для
терминального
оборудования
Зеркало приложений
Антивирусный сервер
Ячейка/зона 1
(Резервная топология типа «Звезда»)
Диск
Контроллер
HMI Распределенный
ввод-вывод
ДискДиск
HMI
Распределенный
ввод-вывод
HMI
(Топология типа
«Кольцо»)
(Линейная топология)
уровня доступа 2
Ячейка/зона
Уровни 0-2
Производственная зона
Уровень 3
Демилитаризованная зона
Уровень 3.5
Корпоративная сеть
Уровни 4-5
Усиленный межсетевой экран
Усиленная система предотвращения
вторжений (IPS)
Удаленный мониторинг и наблюдение
Управление ПО, конфигурацией и активами
VPN и сервисы удаленного доступа
Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке
Применение политик для всей сети
Контроль доступа
(на уровне приложений)
Межсетевой экран с сохранением
состояния
Защита и определение вторжений (IPS/IDS)
Системы управления физическим
доступом
Сервисыидентификации
ISE

Cisco Connected Factory 3.5.0 – Wi-Fi
Продукты решения
Бизнес результат
Ключевые
параметры
Уменьшение затрат
Factory Mobility
• Mobile Controls visibility
• Wireless tooling, I/O
• Asset Tagging
• Mobile video
• Mobile Apps
• 1552 AP, 2600 AP, WLC
• Stratix 5100 AP
• Ent Mobility Svs Platform
• IOE Site surveys
CVD от Ноября‘14Cell / Area Zone Level 0 – 2
Enterprise Zone Level 4 - 5
Industrial Zone Level 3
Industrial Demilitarized Zone
Catalyst 3750X
Catalyst
4500/6500
ASA 55xx-X
(Active)
ASA 55xx-X
(Standby)
• Wide Area Network (WAN)
• Physical or Virtualized Servers
• ERP, Email
• Active Directory (AD), AAA – Radius
• Call Manager, etc.
Plant Firewalls:
• Inter-zone traffic segmentation
• ACLs, IPS and IDS
• VPN Services – Remote Site Access
• Portal and Terminal Server proxy
Web DNS FTP
Catalyst
Switch
Internet
Cisco 5500 WLC
Cisco
WLC
Anchor
Cisco WLC
Industrial Wireless CPWE 3.5.0
Catalyst
2960-X
Catalyst
2960-X
Catalyst
2960-X
Catalyst
2960-X
Failover
Outside
DMZ
DMZ
Inside
Active Directory Fedrated Services
ISE 34xx PAN, MnT, IPN
SiSi SiSi
Patch Management
Terminal Services
Data Share
Cisco Video Surveillance Data Share
Application Server
AV Server
FactoryTalk AssetCentre
FactoryTalk View Server, Clients & View Studio
FactoryTalk Batch
FactoryTalk Historian
RSLinx Enterprise
FactoryTalk Security Server
Cisco Video Surveillance Manager
1588 Precision Time Protocol Service
Active Directory Federated Services
Remote Access Server
Studio 5000
Cisco 5500 WLC (redundancy option)
Controller
HMI
I/O I/O
WGB
I/O
Drive
WGB
Controller
I/O I/O
A P
A P
WGB
X
WGB
Roaming I/OCell/Area #
(Wireless Topology)
A P
A P
ISE Policy Service Node
БЛВС
производства

Архитектура ИБ транспортного блока от Cisco
PTC
IPICSVSMS / VSOM
IP/MPLS
Домен
UCS
WAN/ Ядро
Центр управления
Трансп. зона
Усиленный межсетевой экран
Усил. система обнаружения вторжений
(IDS)
Удаленный мониторинг и наблюдение
Управление ПО, конфигурацией
и активами
VPN и сервисы удаленного доступа
Межсетевой экран нового поколения
Система предотвращения вторжений (IPS)
Защита от угроз в облаке
Применение политик для всей среды
Контроль доступа на уровне приложений
Межсетевой экран с сохранением
состояния
Система обнаружения вторжений (IDS)
Системы управления физическим
доступом
Сервисыидентификации
Сети безопасности
и управления
процессами
Offload
VSMS
PTC 3000
TMC
Оборудование
Мультисервисные сети

Архитектура ИБ ж/д транспорта от Cisco

Суб-архитектуры ИБ для железнодорожного
транспорта
• Конвергентная сеть в
вагонах и голове состава
• Поддержка Wi-Fi
• Предоставление
расширенных сервисов
пассажирам
• От SDN к MPLS/IP
• Конвергентная сеть
• Высокая пропускная
способность для новых
приложений
• Конвергентная сеть
станции
• Поддержка Wi-Fi
• Предоставление
расширенных сервисов
пассажирам
Решение Connected Rail
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
1:05PM
Passenger ServicesSafety & Security Station Operations
PoE PoE
PoE
""
CISSMS
Connected Train Connected Trackside Connected Station

Архитектура ИБ аэропорта от Cisco
Multitenant Network
Cisco Connected Airport – Reference Architecture (Issued V1)
For More Information: Ted Nugent – BDM Aviation runugent@cisco.com
Enabling Airports to Create a Sustainable Infrastructure
WAN Aggregation
Operations ControlTerminalHangar or Warehouse
Primary Data Centre
Internet Edge
Teleworker/Mobile Worker
Network Management
Freight / Cargo operations
Airport Admin/Tenants
M & E Infrastructure Passenger, Airport Staff & Airline WiFi
Cloud Services
IP Soft Phone
TelePresence MOVI
Video Conferencing
Virtual Desktop
WAAS Mobile
Anyconnect VPN Client
Video Communication
Server (VCS)
Expressway
TelePresence
TelePresence
Ironport Email Security
Anti-Spam, Anti-Virus
Data Loss Prevention (DLP)
Ironport Web Security
Acceptable Use Policy (AUP)
Malware Prevention
IP Phone WiFi Access Point
SCADA
Door Access ControlVideo Surveillance
Digital Signage
IP Video Phone WiFi Access Point
Door Access Control
Video Surveillance
TelePresence
Digital Signage
IP Video Phone WiFi Access Point
Door Access Control
Video Surveillance
ASA5500
Firewall
Intrusion Prevention (IPS)
Virtual Private Network (VPN)
Door Access
Control
Analogue Camera
ISR G2 Router
VPN
Firewall
Wireless
ASR1000 Router
WebEx Node
WAN Optimisation
(WAAS)
Catalyst 6500 VSS
Services Layer
Firewall
Server Load Balancing (ACE)
Network Application Monitoring (NAM)
Catalyst 6500 VSS
Core Switch
Door Access Control
WiFi Access Point Video Surveillance
Virtual Matrix
IP Phone Console
MDS 9500
SAN Switch
Storage
SAN
Unified Computing
System (UCS) Blade
Unified Computing
System (UCS) Blade
Nexus 5000
Switch
Nexus 5000
Switch
Unified Computing
System (UCS) Blade
Nexus 2000
Switch
Nexus 2000
Switch
Nexus 7000
Core/Aggregation Switch
Nexus 7000
Core/Aggregation Switch
Catalyst 6500 VSS
Services Layer
Firewall
Server Load Balancing (ACE)
Network Application Monitoring (NAM)
MDS 9500
SAN Switch
Push-To-Talk Radio
(IPICS)
Digital Signage
IP Video Phone
WiFi Access Point
Door Access Control
Storage
TelePresence
Tenant 2 WiFi Access Point
Unified Computing
System (UCS) Rack
Digital Signage
Video Wall
Video Surveillance
Unified Computing
System (UCS) Rack
Unified Computing
System (UCS) Rack
Nexus 2000
Switch
Nexus 5000
Switch
Door Access Control
IP Video Phone
VXC/Tablet
(Virtual Desktop)
VXC/Tablet
(Virtual Desktop)
Digital SignagePC/Tablet
(Virtual Desktop)
Catalyst 3850
Switch Cluster
PoE Energywise
Catalyst 6500 VSS
Core Switch
Wireless LAN
Controller
(Guest Access)
Video Surveillance
TelePresence
Door Access Control
IP Video Phone
(Virtual Desktop)
Video Surveillance
TelePresence
Tenant 2
IP Video Phone
(Virtual Desktop)
Video Surveillance
WiFi Access Point
Door Access Control
IP Video Phone Digital Signage
PC/Tablet
(Virtual Desktop)
Video Surveillance
Building
Management
System (BMS)
HVAC/Lights
Hypervisor
Nexus 1000v
Virtual Machines
Hypervisor
Nexus 1000v
Virtual Machines
Hypervisor
Desktop Virtualisation
Software
Virtual MachinesCommunication
Manager (CUCM)
Unity Connection
(CUC)
Jabber (Presence)
Contact Centre
(UCCX)
Meeting Place
Attendant
Console
O
S
O
S
O
S
O
S
O
S
O
S
Digital Media
Manager (DMM)
Show & Share
Server
Webex Social
Network
Management
TelePresence Ctrl
Server (TCS)
TelePresence
Manager (TMS)
O
S
O
S
O
S
O
S
O
S
O
S
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
WAN Optimisation
(WAAS)
Wireless LAN
Controller
IPICS Server
Physical Access
Manager (PAM)
Video Surveillance
Operations Manager
Video Surveillance
Media Server (VSMS)

Mobility Services
Engine (MSE)
Media Exchange
Engine (MXE)
Video Comms Server
(VCS)
PSTN
ISR G2
PSTN Gateway
Voice/Video DSPPrime
Cisco Security
Manager (CSM)
Data Centre Network
Manager (DCNM)
Network Control
Systems (NCS)
LAN Management
System (LMS)
Identity Service
Engine (ISE)
Network Analysis
Module (NAM)
Collaboration
Manager (CM)
Fibre Channel over Ethernet (FCoE)
Fibre Channel Storage Links
Ethernet
VXC/Tablet
(Virtual Desktop)
Rugged Mobile Computer
Connected Field Staff
Cisco Connected Airport – Reference Architecture © Copyright 2011-13 Cisco Systems, Inc. All Rights Reserved.
Industrial Ethernet via Cisco Rugged Switches
and Routers (CGS-2520, IE2000, CGR-2010)
support SCADA communications through
hierarchical segmentation. This results in
reduced cost and complexity with increased
efficiency, scale, resilience, policy enforcement
and defence-in-depth security.
The quality and collaboration capabilities of
TelePresence are far beyond typical Video
Conferencing. The realism and quality enhances
the communication value of meetings enabling
users to catch every comment and nuance of the
conversation. At the same time, Rail
Infrastructure Managers can save money, time
and energy wherever it is used.
Standards based Wireless Mesh via the Cisco
Field Area Router (FAR) supports connectivity
of sensors for pro-active monitoring, control
and general telemetry of the Network. Data can
be collected and processed locally on the router
enabling distributed intelligence. Secure wireless
access for field staff ensures “always-on”
network connectivity.
Cisco Video Surveillance solutions use the IP
network to deliver and receive live and
recorded video surveillance media. The IP
cameras are feature-rich digital cameras that
enable surveillance in a wide variety of
environments available in standard and high
definition; wired and wireless offering efficient
network utilisation while providing high-quality
video.
Virtual Desktop Infrastructure (VXI) centralises
employee desktops, applications and data in
the data centre. It provides unprecedented
control of the desktop and laptop environment
and helps IT to secure compute, network and
data resources. VXI frees end users from the
constraints of a specific device and reduces long-
term costs by simplifying management of the
desktop environment.
Cisco Physical Access Control is a cost-effective
IP-based solution that uses the IP network for
integrated security operations. It works with
existing card readers, locks and biometric
devices and is integrated with Cisco Video
Surveillance and IP Interoperability and
Collaboration System (IPICS) for a
comprehensive, holistic enterprise-wide safety
and security solution.
Cisco Digital Media Suite (DMS) enables companies to learn, grow, communicate
and collaborate through webcasting and video sharing, digital signage and
business IP TV applications. DMS allows quick and effective display of information
include training for live/on-demand video broadcasts, emergency messaging,
schedules and news; extending the overall reach of corporate communications.
Cisco Voice and Unified Communications develops interactive collaboration by
combining all forms of business communications into a single, unified solution, it
will help employees, customers, supplies and partners to communicate with each
other, quickly and easily without obstacles.
Cisco Security solutions protect assets and
empowers the workforce. Context-aware
security provides high level intelligence, policy
governance, and enforcement capabilities.
Significantly enhancing the accuracy,
effectiveness, and timeliness of any
organisation's security implementation.
The Mobile TeleWorker gains flexibility and
productivity. Cisco delivers a suite of
teleworking solutions with a cost-effective
approach that preserves business security
and agility, increases productivity, and
reduce costs by continuously connecting the
TeleWorker, anytime, from every location at
home or on the road.
Cloud Services can offer savings in IT resources
such as computing storage and application
services. “The Cloud” can provide theses
services as elastic resources that are suitable
for use in existing or new applications without
a large investment in capital resources and
ongoing maintenance costs. WebEx delivers
online meetings and easy-to-use web
collaboration tools to the entire workforce.
Scansafe keeps malware off the corporate
network and more effectively controls and
secures web usage.
Cisco Unified Fabric Data Centre provides flexible, agile, high-
performance, non-stop operations; self-integrating
information technology, reduced staff costs with increased
uptime through automation, and more rapid return on
investment. It accelerates virtualisation and enables automation
to extend the lifecycle of mission-critical resources to support
evolving needs. Rail companies can reduce their total cost of
ownership (TCO) and increase business agility—both critical to
combating the server sprawl and inefficiency inherent in many
data centres today.
Wide Area Application Services (WAAS) is a comprehensive
WAN optimization solution that accelerates applications
over the WAN, delivers video to the branch office, and
provides local hosting of branch-office IT services. Cisco WAAS
allows IT departments to centralize applications and storage
in the Data Centre while maintaining LAN-like application
performance.
IP/MPLS in the WAN enables converged secure link
virtualisation. It reduces overall costs by supporting multiple
logical networks across a single physical infrastructure.
Physical Security
ASR 1000 Router ASR 1000 Router
Enterprise Content
Delivery Sys (EDCS)
TPresence Multipoint
Control Unit (MCU)
Mobile Phone
Anyconnect
VPN Client
Internet
CGR-2010
Rugged
Router with
VPN/
Firewall
Fire service
Gatelink
Mobile Workforce
IP Phone
IE2000
MPLS Layer
Optical
Layer
P Router
PE Router
Operational Network
Facilities
Management
Voice Services
RTU
PMR &Tetra
Catalyst 3850
Video Gateway
IP Camera
Vehicle/Passenger Tracking
Mast
Retail
Passenger services
Customer
Information
Screens
Help-point
Phone
Telephony
Security Systems
Video Surveillance
Internet
Access
GPRS/3G/LTE
VG350IP PhoneIP Phone IP Phone
CGS-2520
Rugged Switch
RTU
Building
Management
System (BMS)
HVAC/Lights
Catalyst 3850
Switch Cluster
PoE Energywise
Runway lighting Maintenance Passenger services Operations
Analogue Camera
IP Phone
Video Gateway
IP Camera
Mast
ISR G2 Router
IPICS
CGS-2520
Rugged Switch
IPICS
IPICS
Kiosks
Mast
NAV Aids
ISR/3850
MET
819 Router
GPRS/3G/LTE
CGS-2520
Rugged Switch
Control points
IP Camera
IP Phone
819 Router
ISR G2 Router
RTU
Baggage Handling
IP Camera
WiFi Access Point
RFID Tag
Check-in
Catalyst 3850
Switch Cluster
PoE Energywise
Catalyst 3850
Switch Cluster
PoE Energywise
Catalyst 3850
Switch Cluster
PoE Energywise
Catalyst 3850
Switch Cluster
PoE Energywise
Digital Signage
BMS HVAC/Lights
RFID Tag
ASR 9000
Bus
Field Area M2M
Router
3G/LTE
Vehicule tracking
Field Area M2M
Router
3G/LTE Vehicule tracking
Barcode Readers
Public
Annoucement
Catalyst 3850 ISR G2 Router
ISR G2 Router
Catalyst 3850
Fire/Rescue
Ambulance
Barcode Readers
Tenants and Airlines
ISR G2 Router
(WAAS, VPN)
ISR G2 Router
(WAAS)
WiFi Access Point
IP Video Phone
PC/Tablet
(Virtual Desktop)
Catalyst 3850
Outdoor Wireless
Mesh
Fire/Rescue
ISR/3850ISR/3850ISR/3850
WiFi Access Point
GSE
Cargo

Сеть агрегации FAN
ЗОНА 2
Мультисервисная шина
ЗОНА 3
Сеть NERC CIP
ЗОНА 1
Сетьподстанций
Станционная
шина IEC
61850
Шина
процессов
IEC 61850
Архитектура ИБ цифровой подстанции
Физическая
безопасность
Взаимодействие
с сотрудниками
Серийные, C37.94, E&M
Периметр электронной безопасности (ESP)
PT ПрерывательCT CTPT
Периметр физической безопасности (PSP)
Прерыватель
IED
MU
Распределенный
контроллер
HMI
Устаревшая
RTU
PT CT
Аппаратный
I/O
Сенсор
Устаревшее
реле
РТЗ
Прерыватель
Частный WiMax или LTE
для полевой сети
Точка электронного доступа
Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP
Центр
доступом
ДМЗ
Центр
обработки
данных
HMI
SCADA FEP
EMS
CPAM
VSOM
Аналитика
ист. данных
SIEM
PACS
ACS
CA
LDAP
HMI
соединения
RTU
Защитное
реле
Процессор
коммуникаций
PMU
PDC
Реле
РТЗ

Управление и
Уровень 1
Устройство
Уровень 0
Центр
Уровень 3
Устаревшая
RTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессы
Ethernet-мультисервисы
WAN
Беспроводн. соед.
ТранспортRFID
SIEM
Сенсор Движок Клапан Драйвер Насос Прерыватель
Монитор
питания
Стартер Выключатель
Системы
Принтер
Оборудование
SIEM
Система SCADA
Головная станция
Рабочие станции
оператора и разработчика
Сервер автоматизации
процессов системы
SIEM
SIEM
Обработка
и распред. ист. данных
Серверы приложений
Операционные
бизнес-системы
SIEM
SIEM
SIEM
Надежность и
Система управления
производством (MES)
SIEM
SIEM
Распределенная система
управления (DCS)
SIEM
SIEM
доменов
Корп. сеть
Уровни 4-5
Ист. данные
SIEM
Анти-
вирус
WSUS
SIEM
SIEM
Сервер удаленной
разработки
SIEM
Сервер
терминального
оборудования
SIEM
ДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
Контроль
Уровень 2
Системы
видеонаблюдения
Контроль
доступа
Голос
Мобильные
сотрудники
Беспроводн.
сенсор
Сенсор Выключатель
Безопасность
Архитектура ИБ нефтеперерабатывающего завода
от Cisco

Corporate
ISP
BRAS
Voice
PLCPLC RT I/O
Архитектура ИБ нефтедобывающей компании
Периметр
Транспортная сеть
Ядро сети
Скважина Буровая
Mobile Field Connectivity
Micro Seismic Applications
RF-ID Asset Tracking
Operational Video Surveillance
Real Time Control
Transparent QoS Tagging
Low Latency – Low Jitter
Gigabit Data Capacity Backbone
End-to-End Oil Field Coverage
IE-3000
L-3 Switch
RDL-3000m
Nomadic Radio
IE-3000
L-3 Switch
Elte-MT
ATEX-2 Radio
RDL-3000
Base Station
RDL-5000
PTP-Microwave
Сервера управления
IE 3000
Industrial
Switches
Network
Services
Subsurface
Modeling
Video Management Server
Collaboration Server
Routing & QoS Definitions
Operations and Control
M2M
I/O Server
Corp VPN
ASR-1000 ASA-5500
Switch
Network Security
RDL-3000
Base Station
1552E
Wi-Fi AP
RF-ID Mobile
Workers
VoIPVideo
Surveillance
HMI
RTU Real Time
I/O Controller
Video
Surveillance
Access Control
NMS/EMS
Cisco Video Surveillance MGR
Cisco Unified Comms Server
Cisco Wireless Controller

SCADA"&"Opera?onal"
Business"Systems"
Physical"Security"
Wireless"
Voice"&"Incident"
Response"
Industrial"DMZ"
Control$Centre$(xN)$
Network"
Services"
Process,"Safety,"Power"
Mul?service"
Fog"Compute"
The$Secure$
Pipeline$
Level$0$Level$1$Level$2$Level$2.5$
Physical$Security$
Opera3ons$Mgr$
SIEM
SIEM
SIEM
SIEM
Physical$$
Access$Mgr$
Video$$
Surveillance$Mgr$
Incident$
$Response$
WLAN$Controller$
Call$$
Manager$
Voicemail$Mobility$&$
Tracking$
Applica3ons$
SIEM
Engineer$
Worksta3ons$
Metering$
SCADA$
Primary$
Energy$
Mgt$
Historian$
Repor3ng$Operator$
Worksta3ons$
SIEM
SIEM
SIEM
SIEM SIEM
SIEM
SCADA$
Backup$
SIEM
SIEM
Remote$
Access$
Patch$Mgt$
An3virus$
NonNWired"WAN"
3G/LTE,"Satellite,"WiMAX,"RF"Mesh,""
Microwave"
Virtualized$
SIEM
RTU/Controller$
Wireless$AP$ Wireless$AP$Wireless$AP$Stra3x$Switches$ Stra3x$Switch$
Radio$
Mobile$Worker$
Voice$
CCTV$&$Access$Control$
RFID$
Fog$Node$
Master$MTU$
Level$3$&$3.5$Level$4$&$5$
Enterprise"
WAN"
Leak"Detec?on" Pipeline"Op?miza?on"Batch"Management" Physical"Security" Mobility"Industrial"Wireless" Analy?cs"Voice"&"Video"Metering"
Visualiza?on" Asset"Management"Historian" Opera?ons"Intelligence"Condi?on"Monitoring" Energy"Management" Collabora?ve"Workspace"
Asset"&"People"Tracking"
Op?miza?on" Security"
WAN$&$Security$
Oﬃce$
Domain$
Internet"3rd$Party$
Compressor(/(Pump(Sta9on(
Meter/PIG/Terminal(Sta9on(
Block(Valve(Sta9on(
Instrumenta3on$
WAN$&$Security$WAN$&$Security$ WAN$&$Security$
Instrumenta3on$ Instrumenta3on$ Instrumenta3on$
Stra3x$Switch$
Wired"WAN"
Ethernet,"DWDM,"MPLS"
WAN,$Security,$&$Op3miza3on$
SIEM
Alarm$Mgt$
Batch$
Control$
SIEM
SIEM
Ethernet"
Serial"
WiFi"
Industrial"Wireless"
RTU/Controller$
Instrumenta3on$
Stra3x$Switches$
Instrumenta3on$
RTU/Controller$
RTU/Controller$ RTU/Controller$
Архитектура ИБ трубопровода от Cisco и Rockwell
Совместная функциональная
архитектура целостной
трубопроводной
инфраструктуры.
§Гибкий, модульный подход,
подерживающий этапную
трансформацию Нефте-Газового
трубопровода
§Виртуализация контрольной
комнаты
§Конвергентное WAN
операционное взаимодействие
§Проводные и беспроводные сети
§Интегрированные мульти-
Сервисные системы
§IEC 62443 / ISA99 Модель

SIEM
Process'Control' Power'Management' Safety'Systems'
Compressor'/'Pump'Sta7on'
Mul7service'
Domain'Sta7on'WAN'&'Security'
Process'Domain'
Metering'/'PIG'Sta7on'
Metering'
PIG'Systems'
Gas'Quality'
Mul7service'
Domain'Sta7on'WAN'&'Security'
Process'Domain'
SCADA'&'Opera7onal'Business'Systems!
SIEM
Engineer'
Worksta7ons'
Applica7on'
'Servers'
Domain''
Controller'
Instrumenta7on' Instrumenta7on' Instrumenta7on' Instrumenta7on'
Quantum' Quantum' MiCom'
c264'
SIL3!Controller! SIL3!Controller!
GTW' RI/O' GTW' RI/O!
Historian' Operator'
Sta7on'
Historian' PACIS'
Operator''
Historian' Operator'
Sta7on'
HMI'
Ethernet'Network' Ethernet'Network' Safe'Ethernet'Network'
Ethernet'Network'
'Safe'Ethernet'Network'
Wireless'
AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'
Network'
Wireless'
AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet!
Network!
Wireless!
AP!
Controller' Controller' Controller'
Ethernet'Network'
Historian' Historian' Historian'
HMI' HMI'
Router' Firewall' Switch' Router' Firewall' Switch'
Converged'OT'&'IT'Opera7onal'Field'Telecoms'
SCADA'
'Primary'
RAS''
Leak''
Detec7on'
Physical'Security'
Operator'
Worksta7ons'
SCADA'
'Backup'
Training'
Server'
Historian'
Repor7ng'
Metering''
Systems'
Main'Control'Center'
Video''
Opera7ons'
Access''
Opera7ons'
Video''
Storage'
Incident'
'Response'
IP/Ethernet'
DWDM'
IP/MPLS'
(virtualized/non/virtualized)1
Backup'Control'Center'
MCC'WAN'&'Security'
BCC'WAN'&'Security'
Mul7service'
Domain'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'
Network'
Wireless'
AP'
Process'Domain'
Router'Firewall'
Switch'
Sta7on'WAN'&'Security'
Block'Valve'Sta7on'
Quantum'
Instrumenta7on'
Centralized'Opera7ons' Oﬃce'/'Business'Domain' Internet'Edge'
Internet'
3rd'Party'
Support'
Voice'
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
Engineer'
Worksta7ons'
Applica7on'
'Servers'
Domain''
Controller'
SCADA'
'Primary'
Leak''
Detec7on'
Operator'
Worksta7ons'
SCADA'
'Backup'
Historian'
Repor7ng'
Metering''
Systems'
Incident'
'Response'
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
SCADA'&'Opera7onal'Business'Systems! Physical'Security' Voice'
Magelis'
ION'
Metering'
SEPAM'
Protec7on'
TeSys'T'
Motor'Mgt'
Al7var'
Drive'
MiCOM'
Feeder''
Protec7on'
Magelis'
Video''
Opera7ons'
Access''
Opera7ons'
Video''
Storage'
(Redundant1
Op5ons)1
(Redundant1
Op5ons)1
(Redundant1
Op5ons)1
SIEM SIEM
SIEM SIEM SIEM
Switch'
SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM
SIEM SIEM
SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM
RI/O!
ScadaPack'
SIL3'Op7on'
No'SIL'Op7on'
Wireless!opAon!
3G/LTE,'WiMax'
900Mhz'RF'Mesh'
Satellite,'Microwave'
ROADM' ROADM' ROADM'
Crew!Welfare!/!
Infotainment!
SIEM
IDMZ'
TIming'
Server'
SIEM
AAA'
TIming'
Server'RAS''
SIEM
SIEM
AAA'
WAN'
Networks'
IDMZ'
Архитектура ИБ трубопровода от Cisco и Schneider
Совместная функциональная
архитектура целостной
трубопроводной
инфраструктуры.
§Гибкий, модульный подход,
подерживающий этапную
трансформацию Нефте-Газового
§Виртуализация контрольной
комнаты
§Конвергентное WAN
операционное взаимодействие
§Проводные и беспроводные сети
§Интегрированные мульти-
Сервисные системы
§IEC 62443 / ISA99 Модель

Аутсорсинг
ИБ
Анализ
угроз
Operations
Продукты
по ИБ
Архитектура
ИБ
Исследова
ния Консалтинг
«Разведка»
Cервисы ИБ

В качестве заключения
Герб Зеленограда

Белки vs хакеров: у нас еще есть время
Агент Успех
Белка 927
Птица 461
Змея 84
Енот 76
Крыса 41
Куница 23
Бобер 15
Медуза 13
Человек 3*
http://cybersquirrel1.com

Дополнительная информация
Раздел «Брошюры» на сайте www.cisco.ru

Дополнительная информация
• Converged Plant-Wide Ethernet DIG
• Planning for a Converged Plant-wide Ethernet
Architecture – ARC Group
• Secure Wireless Plant
• Industrial Intelligence Architecture
• Securing Manufacturing Computer and Controller Assets
• Achieving Secure Remote Access to Plant Floor
Applications

Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
request@cisco.com или своему менеджеру
Cisco для организации встречи для более
глубокого обсуждения ваших потребностей
и того, как мы можем их удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный
план внедрения решений по
кибербезопасности под ваши задачи
Что сделать после конференции?

#CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Алексей Лукацкий
Бизнес-консультант по безопасности
alukatsk@cisco.com
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia

Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии

More Related Content

What's hot

Similar to Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии

More from Aleksey Lukatskiy

Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии