Защита АСУ ТП - пора действовать

15,301 views

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
15,301
On SlideShare
0
From Embeds
0
Number of Embeds
11,504
Actions
Shares
0
Downloads
196
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Защита АСУ ТП - пора действовать

  1. 1. Безопасность АСУТП: от слов к делуАлексей ЛукацкийБизнес-консультант по безопасности, Cisco © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/110
  2. 2. Что такое АСУ ТП? В России еще ГАС «Выборы», кадастры и все, что влияет на национальную безопасность © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2/110
  3. 3. Сначала я хотел говорить об угрозах итенденциях в АСУ ТП Потеря производительности Штрафы Судебные иски Потеря общественного доверия Потеря капитализации Выход из строя оборудования Нанесение ущерба окружающей среде  Взрыв газопровода СССР, 1982 Ущерб здоровью  Нефтепровод в Bellingham США, 1999 Человеческие жертвы  Очистные сооружения Австралия, 2001  АЭС Davis Besse США, 2003  Сеть электроэнергии США, 2003$$$.$$  АЭС Browns Ferry США, 2006  Обогатительные заводы в Иране, 2010 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3/110
  4. 4. Отказ на Taum Sauk  Гидроаккумулирующая электростанция Taum Sauk АСУ ТП зафиксировала некорректный уровень воды Насосы продолжали работать Дамба переполнилась и размылась © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4/110
  5. 5. Взрыв нефтяной цистерны вБансфилде Измерение уровня топлива «зависло» Измерительная система показала аномалию Закачка продолжалась Цистерна переполнилась Резервная система безопасности отказала © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5/110
  6. 6. Взрыв трубы в Вашингтоне © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6/110
  7. 7. Взрыв трубы в Вашингтоне © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7/110
  8. 8. Червь на атомной электростанции © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8/110
  9. 9. Взлом иных типов АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9/110
  10. 10. Недавние событияХакеры получили несанкционированный доступ ккомпьютерным системам водоочистных сооружений вХаррисбурге, шт. Пенсильвания, в начале октября2006 года. Ноутбук сотрудника была взломан черезИнтернет, затем он использовался как точка входа длядоступа к административным системам и установкивирусов, троянских и шпионских программ.На конференции Federal Executive LeadershipConference в Вильямсбурге, штат Вирджиния,представитель спецслужбы подтвердил200 представителям правительства ипромышленности, что злоумышленники вторгались всистемы нескольких организаций, составляющихнациональную инфраструктуру, и требовали выкуп,угрожая отключить системы. Поставщикикоммунальных услуг в США не подтверждали и неотрицали факты подобного шантажа. © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 10/110
  11. 11. Зарубежные покупки Китаем активов ТЭК и кибератаки на них Purchase of major stake in Kazakh oil company Purchase of Rumaila oil field, Iraq, at auction McKay River and Dover oil sands deal with Athabasca, Canada LNG deal with QatarGas Aggressive bidding on multiple Iraqi oil fields at LNG deal with QatarGas auction Purchase of major stake in a second Kazakh oil company Shady RAT ( LNG deal with Shell Night Dragon U.S.LNG deal with QatarGas China-Taiwan trade deal for petrochemicals natural gas LNG (Kazakhstan, Taiwan, deal with Exxon Development of Iran’s Masjed Soleyman oil field wholesaler) Greece,Phase 11 with Finalization of South Pars U.S.) Oil development deal with Afghanistan Iran Framework for LNG deal with Russia LNG deal with Australia LNG deal with Uzbekistan LNG deal with Australia Shale gas deal with Chesapeake Energy in Texas LNG deal with France2008 2009 2010 2011 2012 2013 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11/110
  12. 12. Насколько велики риски?  Сведения публикуются о менее чем 1% (0,25%) инцидентов Возможен ущерб репутации и снижение котировок акций  Риск = вероятность угрозы X возможные последствия  Выбираемые цели характеризуются бóльшим ущербом, чем легкодоступные целиУщерб < 100 000 долл. США Ущерб > 100 000 долл. США 4% Саботаж 8% Взлом 21% Саботаж 8% Прочее 12% Случайность 79% Случайность 68% ВПО Источник: Eric Byres, BCIT 12/110 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public
  13. 13. Потом я хотел говорить о цикле PDCAдля АСУ ТП В мае 2006 года в рамках Chemical Sector Cyber Security Program советом по ИТ химической индустрии (Chemical Information Technology Council, ChemITC) в рамках американского совета химической индустрии были предложены рекомендации по информационной безопасности в основу которых легли стандарты ISOIEC 17799 и ISA-TR99 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13/110
  14. 14. Потом я хотел говорить о стандартахбезопасности АСУ ТП ISA SP99 NERC CIP Guidance for Addressing Cyber Security in the Chemical Industry NIST PCSRF Security Capabilities Profile for Industrial Control Systems IEC 61784-4 Cisco SAFE for PCN КСИИ ФСТЭК Стандарты Газпрома © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14/110
  15. 15. И об этих IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security» IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security» IEC 62351 «Data and Communication Security» FERC Security Standards for Electric Market Participants (SSEMP) American Petroleum Institute (API) 1164 «SCADA Security» Security Guidelines for the Natural Gas Industry © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15/110
  16. 16. А еще об этих API Security Guidelines for the Petroleum Industry API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части) NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security» © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16/110
  17. 17. Но проще почитать NIST SP800-82 Общим руководством по защите АСУ ТП и выбору необходимого стандарта является руководство NIST SP800-82 Выпущен в июне 2011 года © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17/110
  18. 18. Потом я хотел говорить об этомВ России такой документ должен появиться только в 2014-м году © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18/110
  19. 19. В рамках Control Systems SecurityProgram Создание системы национального масштаба для координации усилий государства и частного бизнеса с целью снижения уязвимости и реагирования на угрозы, связанные с системами управления технологическими процессами, связанными с национальной критической инфраструктурой © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19/110
  20. 20. Но в условиях роста угрозы © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20/110
  21. 21. Лучше сразуперейти к делу © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 21/110
  22. 22. Топ10 рисков в АСУ ТП1. Политики, процедуры, и культура ИБ неадекватны. Руководство не уделяет внимание проблеме защиты АСУ ТП. Персонал игнорирует тренинги по защите АСУ ТП2. Плохо проработанные дизайны сетей АСУ ТП3. Удаленный доступ к АСУ ТП осуществляется без аутентификации и авторизации4. Стандартные механизмы системного администрирования не включены в администрирование АСУ ТП5. Использование незащищенных беспроводных соединений © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22/110
  23. 23. Топ10 рисков в АСУ ТП6. Недостаток выделенных каналов управления и неадекватное нецелевое использование сети сегмента АСУ ТП7. Недостаток простых и понятных инструментов для обнаружения и документирования аномальной активности8. Инсталляция ненужного ПО и железа на элементы АСУ ТП9. Управляющие системы и команды не аутентифицируются10. Неадекватно управляемая, разработанная и внедренная система поддержка АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23/110
  24. 24. Три уровня нейтрализующих мер• Механизмы, Средний • ИБ-активности, традиционные для не- поддерживающие и ИТ/ИБ активностей • Начальные тактические расширяющие базовый мероприятия, и средний уровень и обеспечивающие могущие потребовать реализацию дополнительной управляемых защитных экспертизы функций на базе ИБ- активностей Базовый Расширенный © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 24/110
  25. 25. 1. Неадекватные политики ипроцедуры Базовый Заручитесь поддержкой руководства Разработка и документирование политики кибербезопасности Внедрение политик и процедур из государственных стандартов по безопасности КВО Средний Внедрение лучших индустриальных практик Контроль выполнения политик и процедур Расширенный Внедрение процесса непрерывного улучшения внедряемых политик и процедур Проведение периодических тренингов и аудитов © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25/110
  26. 26. Документировать придется много © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 26/110
  27. 27. ТАК руководство не понимает важности задачи Сброс до Соблюдение Сброс до выше чем Катастрофа Сброс до выше чем нормальной скорости нормальная скорость с1410 до 2 и новой нормальной нормальная скорость (807-1210 Hz) (1410 Hz) опять до 1064 Hz (1064 Hz) (1410 Hz) 1500Скорость в Hz 1000 500 Норма Стресс Новая норма Стресс 0 Фаза I Фаза II Фаза III Фаза IV Фаза II ~ 12.8 дней ~ 27 дней 15 или 50 минут ~ 27 дней ~ 27 дней Начало заражения © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27/110
  28. 28. А ТАК совсем другое дело Каскады в Натанзе, Объем: Общее число Удача: Каскады 2007-2012 каскадов работающие604020 2009 – середина 2007 2008 После Stuxnet 20100 Феб-07 Июл-07 Дек-07 Май-08 Окт-08 Мар-09 Авг-09 Янв-10 Июн-10 Ноя-10 Апр-11 Сен-11 Фев-12 Подготовка Stuxnet 1.0 Stuxnet 2.0 Решение о цели Разработка методов внедрения Середина- Июнь 2010 Обкатка 2009 Публичное Разработка кода Код открытие Подготовка к появляется в Stuxnet Flame? диком виде © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28/110
  29. 29. Или вот так… © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29/110
  30. 30. Пример 4-хчасового тренинга © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 30/110
  31. 31. Пример 4-мичасового тренинга © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 31/110
  32. 32. Пример политики © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32/110
  33. 33. Где брать информацию обуязвимостях? © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33/110
  34. 34. 2. Плохо проработанные дизайны Базовый Внедрение электронного периметра и отключение всех нетребуемых соединений Составление и поддержка списка критических ресурсов Средний Зонирование электронного периметра Минимальное количество расшаренных ресурсов между корпоративной сетью и АСУ ТП Тренинги для сотрудников, вендоров, интеграторов Расширенный Внедрение VLAN, PVLAN, NIPS/HIPS, обнаружения аномалий, интеллектуальных коммутаторов и т.п. © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34/110
  35. 35. Зонирование по Cisco SAFE for PCNУровень 5 Enterprise Network Зона корпора-Уровень 4 Email, Intranet, etc. Site Business Planning and Logistics Network тивной ЛВС Terminal Patch AV Services Mgmt Server DMZ Historian Web Services Application (Mirror) Operations Server Site Operations МСЭ и Production Optimizing EngineeringУровень 3 Control Control Historian Station and Control IPS Supervisory HMI Supervisory HMI AreaУровень 2 Control Control Supervisory Control ЛВС АСУТПУровень 1 Batch Control Discrete Control Continuous Control Hybrid Control Basic ControlУровень 0 МСЭ и IDS Process © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35/110
  36. 36. Логическая схема Зона корпоративной ЛВС содержит типичные бизнес приложения Почта, АСУП (ERP), Интернет, и т.п. Зона ЛВС АСУ ТП отделяет критичные системы АСУ ТП Состоит из нескольких функциональных мини-зон Опционально: МСЭ и IDS Зона DMZ обеспечивает связность Содержит только некритичные системы, которым необходим доступ к корпоративной ЛВС и ЛВС АСУ ТП Обеспечивает разделение корпоративной ЛВС и ЛВС АСУ ТП Состоит из нескольких функциональных мини-зон Отделена межсетевыми экранами (МСЭ) и IPS © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 36/110
  37. 37. Граница Пример DMZ периметра Терминаль- Сервер Антивиру- ный сервер обновле- сный ний ПО серверФункцио- нальные DMZмини-зоны Прямого обмена Historian Web Сервер нет Mirror Services приложений Operations Граница периметра © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 37/110
  38. 38. Настраивая МСЭ, не забудьте Очень часто правила на МСЭ Не имеют комментариев Общие или упрощенные Устаревшие и не удаляются Многие без авторства/владельца или обоснования появления Регистрация не включена Боязнь деградации производительности – надо было тестировать ДО приобретения МСЭ разрешает прямое соединение к нему Одинаковые наборы правила для корпоративного МСЭ и МСЭ в АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38/110
  39. 39. 3. Удаленный доступ к АСУ ТП Базовый Проработка соглашения с вендором об удаленном доступе к АСУ ТП Проверки персонала/вендоров/интеграторов с доступом к критическим системам Внедрение и документирование организационных процессов Разработка и внедрение политики управления пользователями, включая парольную политику Изменение всех паролей по умолчанию Использование защищенного удаленного доступа (VPN, SSH, SSL, IPSec, DTLS) Контроль всех внешних соединений © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39/110
  40. 40. Векторы атак В 50% случаев использовались подключения сети PCN к корпоративной сети В 17% случаев использовались подключения сети PCN к Интернету 3% Беспроводные сети 7% Сети VPN 7% Модем для коммутируемых линий 7% Телекоммуникационная сеть 10% Доверенное подключение сторонних систем (Включая зараженные ноутбуки, рост продолжается) 17% Непосредственно Интернет 49% Корпоративная сеть Источник: Eric Byres, BCIT 40/110 © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public
  41. 41. Эволюция угроз  До 2000: внутренние угрозы  2000—2005: ВПО – в основном, черви  2006—2008: взлом ради выгоды  2008+: кибервойны?Типы инцидентов (1982—2000) Типы инцидентов (2001—2003) 31% Случайные 5% Внутренние 5% Прочие 31% Внешние 20% Случайные 38% Внутренние 70% Внешние © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 41/110
  42. 42. 3. Удаленный доступ к АСУ ТП Средний Выделение удаленного доступа в отдельный сегмент Уникальные идентификаторы и разные уровни доступа в зависимости от потребностей Аутентификация и авторизация удаленного доступа Многофакторная аутентификация Регулярный аудит методов удаленного доступа Network mapping и war dialing для недекларированных подключений Специальные разделы в договорах с вендорами и контраторами Внедрение NIPS © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 42/110
  43. 43. 3. Удаленный доступ к АСУ ТП Расширенный Терминальный доступ Внедрение NAC (Network Access Control) для удаленного доступа © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 43/110
  44. 44. 4. Системное администрирование вАСУ ТП Базовый Инвентаризация ПО и железа Разработка и внедрение политики контроля качества ПО и железа (покупка, поддержка, вывод из строя и т.д.) Внедрение процесса управления обновлениями для ОС, системного и прикладного ПО (отслеживание, оценка, тестирование, инсталляция) Документирование и внедрение процесса установки обновлений для антивируса и IDS Регулярный анализ прав доступа в связи с должностями Управление правами уволенных пользователей Изменение общих учетных записей с расширенными привилегиями © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 44/110
  45. 45. Инвентаризация сети АСУ ТП Nmap MaxPatrol Afterglow Создает карту сети на основе записанного сетевого трафика Argus Генерация сетевого трафика на базе pcap-файлов Поисковая система Shodan © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 45/110
  46. 46. Nmap по-прежнему в цене © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 46/110
  47. 47. Shodan – Google для хакеров © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 47/110
  48. 48. 4. Системное администрирование вАСУ ТП Средний Оценка и классификация приложений. Удаление ненужных Кластеризация или дублирование компонентов АСУ ТП, позволяющие установку обновлений без простоя АСУ ТП Полное резервирование, а также наличие резервной тестовой платформы Договор с вендорами о возможности проверки целостности новых релизов ПО Управление логами для контроля и отслеживания истории действий отдельных пользователей © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 48/110
  49. 49. 4. Системное администрирование вАСУ ТП Расширенный Автоматическое удаление учетных записей для уволенных пользователей или утерянных бейджей Работа с вендорами для разработки и внедрения формального процесса оценки качества ПО с целью определения функциональных возможностей через тестирование, сертификацию и аккредитацию Тестирование на уязвимости Ограничение числа пользователей с привилегиями администратора Ограничение общих/разделяемых учетных записей © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 49/110
  50. 50. Что включать в договора свендорами? Cyber Security Procurement Language for Control Systems Документ (145 стр.) аккумулирует принципы ИБ, которые должны учитываться при разработке и приобретении АСУ ТП и сервисов с ней связанных Это рекомендация – не стандарт © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 50/110
  51. 51. Средства анализа защищенности Отечественный и сертифицированный MaxPatrol Nessus Есть дополнения для АСУ ТП (не всегда публичные) Сертификат на Nessus истек Тоже платный SCADA-аудитор (НТЦ «Станкоинформзащита») Cyber Security Evaluation Tool (CSET) Бесплатный; разработан US-CERT Средства моделирования атак Metasploit © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 51/110
  52. 52. Расширения Nessus для АСУ ТП Matrikon OPC Explorer Matrikon OPC Server for ControlLogix Matrikon OPC Server for Modbus Modbus/TCP Coil Access Discrete Input Access Programming Function Code Access National Instruments Lookout OPC DA Server/OPC Detection/OPC HDA Server © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 52/110
  53. 53. Расширения Nessus для АСУ ТП Modicon ModiconPLC CPU Type PLC Default FTP Password PLC Embedded HTTP Server PLC HTTP Server Default Username/Password PLC Telnet Server IO Scan Status Modbus Slave Mode ModiconPLC Web Password Status © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 53/110
  54. 54. Расширения Nessus для АСУ ТП Siemens S7-SCL Siemens SIMATIC PDM – Siemens – Telegyr ICCP Gateway - SiscoOSI/ICCP Stack-. SiscoOSI Stack Malformed Packet Vulnerability Tamarack IEC 61850 Server © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 54/110
  55. 55. Отечественный специализированныйсканер для АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 55/110
  56. 56. Metasploit для АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 56/110
  57. 57. Удаленный доступ к HMIVNC payloads обеспечивает доступ к целевому узлу с HMI © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 57/110
  58. 58. Это не теория! В 2001 году австралийский хакер был приговорен к 2 годам тюремного заключения за свою атаку на систему управления канализацией в Брисбене, которая привела к сбросу 1 млн литров нечистот на территории отеля Hyatt Regency Resort Витек Боден, сотрудник компании, установившей компьютеры, запустил атаку в качестве мести за то, что его не восстановили на работе после увольнения Боден использовал ноутбук, радиооборудование и программные средства для проникновения в систему управления канализацией и перепрограммирования насосов. Он был признан виновным в 46 случаях взлома © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 58/110
  59. 59. Расширения Metasploit для АСУ ТП Модуль для Rockwell Модуль для GE Модуль для Schneider Electric Модуль для Koyo Модуль для WAGO Выпущены в апреле 2012 года © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 59/110
  60. 60. Взломать можно – использовать невсегда! HMI системы по выработке растительного масла © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 60/110
  61. 61. Иностранным хакерам тоже непросто © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 61/110
  62. 62. Пример: Idaho NationalLab Участвуют основные вендоры Полнофункциональные SCADA/PCS/DCS Взаимодействие между системами ICCP Реальные конфигурации Удаленное тестирование Тестирование ИБ © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 62/110
  63. 63. Тестирование коммуникацийв Idaho National Lab Единственный в Америке (и мире) беспроводной полигон размера небольшого города 9 базовых станций Поддержка 3G, 4G, Wi-Fi, Land Mobilу Radio © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 63/110
  64. 64. Тестирование для энергетиков в IdahoNational Lab Собственная электростанция на 138 кВ 7 подстанций Возможность изоляции части системы для специальных тестов Централизованный мониторинг в реальном времени © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 64/110
  65. 65. 5. Использование беспроводныхсоединений Базовый Разработка политики использования беспроводных соединений (включая 3G и 4G) Регулярная оценка рисков для беспроводных соединений, включая подверженность DoS Внедрите зашифрованные беспроводные соединения везде, где возможно Использование нешироковещательных SSID GPS/Mobile Внедрите процедуру отключения беспроводных Jammer соединений в условиях его неиспользования в момент нахождения в критическом сегменте © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 65/110
  66. 66. Беспроводные сети очертить сложнее © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 66/110
  67. 67. 5. Использование беспроводныхсоединений Средний Внедрение протокола 802.1x для аутентификации устройств Включение ограничений по MAC Используйте дизайн с направленными антеннами, там где возможно Внедрите технологии для обнаружения посторонних точек доступа и клиентских устройств Регулярно проводите анализ беспроводного сигнала для идентификации границ беспроводного периметра Беспроводные IDS © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 67/110
  68. 68. 5. Использование беспроводныхсоединений Расширенный Обнаружение незарегистрированных по 802.1x устройств Шифрование всего беспроводного трафика на транспортном или прикладном уровне Использование PKI и серверов сертификатов Внедрение протокола 802.11i (WPA2) © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 68/110
  69. 69. 6. Общие каналы для управления иконтроль сетевого трафика Базовый Определение протоколов и приложений, доступных в сети АСУ ТП. Устранение ненужных протоколов Разделение функций по раздельным сегментам Ограничение или запрет ненужного трафика и обеспечение качество обслуживания Средний Аутентификация всех точек и соединений с сегментом АСУ ТП (технически или процедурно) Внедрение IDS для мониторинга трафика Расширенный Внедрение систем обнаружения аномалий и реагирования на вторжения © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 69/110
  70. 70. В АСУ ТП есть и проприетарныепротоколы ANSI X3.28  Modbus (Modbus+, Modbus TCP и др.) BBC 7200  OPC CDC Types 1 and 2  ControlNet Conitel2020/2000/3000  DeviceNet DCP 1  DH+ DNP 3.0  ProfiBus Gedac7020  Tejas3 and 5 ICCP (IEC60870-6 или TASE.2)  TRW 9550 Landis & Gyr8979  UCA © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 70/110
  71. 71. Сегментация АСУ ТП Функцио- нальные WAN/LANмини-зоны Port Security Site Operations QoS Production Optimizing EngineeringУровень 3 Control Control Historian Station and Control Smart Ports NAC Supervisory HMI Supervisory HMI AreaУровень 2 Control Control Supervisory Control ЛВС АСУТПУровень 1 Batch Control Discrete Control Continuous Control Hybrid Control Basic ControlУровень 0 Process МЭ и IDS © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 71/110
  72. 72. 7. Обнаружение и документированиеаномальной активности Базовый Внедрение систем для мониторинга сетевого трафика Сохранение и регулярный аудит логов Профилирование нормального трафика Внедрение меток времени для SIEM Средний Обнаружение аномалий Синхронизация времени в логах по GPS или NTP © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 72/110
  73. 73. Tcpdump/Wireshark для АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 73/110
  74. 74. 7. Обнаружение и документированиеаномальной активности Расширенный Внедрение долговременного хранилища для доказательств, имеющих юридическую силу Разработка и внедрение специфических для АСУ ТП сигнатур Работа с вендорами по разработке инструментов идентификации подозрительного трафика АСУ ТП Внедрение SIEM Там где целесообразно, внедрение специализированных защищенных операционных систем © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 74/110
  75. 75. Иерархия сигнатур для АСУ ТП Не забывайте, что в АСУ ТП есть и широко распространенное системное и прикладное ПО Не забывайте, что АСУ ТП используют преимущественно стек протоколов TCP/IP © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 75/110
  76. 76. Специализированные IPS для АСУ ТП На рынке существуют специализированные средства предотвращения вторжений для АСУ ТП Обратите внимание Поддерживаемые вендоры Доступность в России Сертификат вам нужен?! © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 76/110
  77. 77. Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Modbus TCP -Unauthorized Write Request to a PLCСигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502 (flow:from_client,established; content:”|00 00|”; offset:2; depth:2; pcre:”/[Ss]{3}(x05|x06|x0F|x10|x15|x16)/iAR”; msg:”Modbus TCP –Unauthorized Write Request to a PLC”; reference:scada,1111007.htm; classtype:bad-unknown; sid:1111007; rev:1; priority:1;)Резюме Неавторизованный Modbus-клиент попытался записать информацию на PLC или иное устройстваВоздействие Целостность системы Отказ в обслуживанииИнформацияПодверженные системы PLC и другие устройства с Modbus TCP сервером © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 77/110
  78. 78. Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Unauthorized communications with HMIСигнатура alert tcp192.168.0.97 any <> ![192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone other than PLC or RTU -NOT ALLOWED"; priority:1; sid:1000000; rev:1;)Резюме Попытка неавторизованной системы подключиться к HMIВоздействие Компрометация системыИнформацияПодверженные системы PLC;RTU;HMI;DMZ-Web © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 78/110
  79. 79. Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Unauthorized to RTU Telnet/FTPСигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2; reference:DHSINLroadshow- IDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;)Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверуВоздействие Сканирование Компрометация системы управленияИнформацияПодверженные системы RTU © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 79/110
  80. 80. 8. Ненужное ПО Базовый Разработка и внедрение политик установки ПО и железа Разработка политик и процедур для управления изменениями Разработка и внедрение процесса отслеживания и инвентаризации железа Обучение и повышение осведомленности персонала, ответственного за поддержку и эксплуатацию АСУ ТП Внедрение политик и процедур контролируемого доступа аутентифицированных устройств к компонентам АСУ ТП (где возможно) Ограничение физического и электронного доступа на основе ролей Контролируйте автоматический останов ПО (при license expire) © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 80/110
  81. 81. 8. Ненужное ПО Средний Использование IDS и антивирусов Разработка и внедрение политик использования внешних носителей и периферийных устройств Запрет всех ненужных портов ввода/вывода на всех устройствах Расширенный Составление списка разрешенного ПО для каждой станции и сервера. Контроль изменений © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 81/110
  82. 82. 9. Команды и системы управления неаутентифицируемы Базовый Ограничьте соединения и изолируйте коммуникации системы управления и сетевую инфраструктуру Определите требования по целостности и аутентификации данных управления Средний Разработайте и внедрите политику управления криптографическими ключами Расширенный Используйте, там где возможно, протоколы управления, содержащие механизмы аутентификации и обеспечения целостности данных без снижение производительности (например, Secure DNP3 или DNPSec) © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 82/110
  83. 83. 10. Неадекватная система поддержки Базовый Определите текущую и желаемую инфраструктуру поддержки и идентифицируйте разрыв Включите систему поддержки в планы по непрерывности. Периодически их тестируйте Средний Разработайте и внедрите политики для поддержки Расширенный Внедрите меры, устраняющие разрыв, для достижение заданного уровня поддержки/непрерывности © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 83/110
  84. 84. Физическую безопасность никто неотменял © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 84/110
  85. 85. Парафраз озащитных мерах © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 85/110
  86. 86. ИБ раньше не имела отношения к АСУТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 86/110
  87. 87. Безопасность АСУ ТП vs ИТ- безопасностьВопросы ИБ Традиционные ИТ АСУ ТПАнтивирус Широкое применение / общая Сложно реализовать / на практика практике применяется редкоЖизненный цикл технологий 3-5 лет До 20 лет и вышеАутсорсинг Широкое применение / общая Редко используется практикаУстановка патчей Регулярно / по расписанию Долго и редкоУправление изменениями Регулярно / по расписанию Наследуемые системы (плохая реализация требования ИБ)Контент, критичный ко Задержки принимаются КритичновремениДоступность Задержки принимаются 24 х 7 х 365 (непрерывно)Повышение осведомленности Организовано неплохо Обычно слабо в вопросах ИБАудит ИБ Планируется и реализуется Время от времени (после третьей стороной сбоев)Физическая безопасность Безопасности Очень неплохо, но часто удаленно и автоматизировано © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 87/110
  88. 88. Средства защиты отстают –используйте компенсационные меры Возможности злоумышленников Возможности защиты Окно уязвимости © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 88/110
  89. 89. Пока СЗИ нет, пусть АСУ ТП защищает сама себя Безопасность Безопасность как как опция свойство системы Высокая сложность  Сниженная сложность Высокая стоимость интеграции  Простота развертывания и управления Риски ИБ не исключены  Эффективное исключение рисков ИБ Низкая надежность  Низкие показатели TCO © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 89/110
  90. 90. Что с сертификацией? Есть профиль защиты для PLC, RTU, IED Для датчиков сертификация не нужна – они не являются мишенью для атаки и не выполняют защитных функций HMI также не выполняют защитных функций В России этот профиль не переведен и не используется Есть система сертификации «ГАЗПРОМСЕРТ» В т.ч. и средств защиты Есть прецедент сертификации оборудования для Smart Grid по требованиям безопасности ФСТЭК Cisco Connected Grid Router (CGR) и Connected Grid Switch (CGS) © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 90/110
  91. 91. Квалификация © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 91/110
  92. 92. Русские хакеры в Иллинойсе Ноябрь 2011: Спрингфилд, Иллинойс объявляет о выводе из строя водонапорной станции, атакованной русскими хакерами Впоследствии оказалось, что это «мирный» отказ насоса ФБР и DHS обнаружили: “русским хакером” был инженер, в отпуске получивший удаленный доступ к SCADA Извлеченный урок: Изучение логов и событий без понимания АСУ ТП (ее основ, принципов работы, протоколов и т.п.) может привести к неправильным решениям и ошибкам © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 92/110
  93. 93. Знаем ли мы АСУ ТП с точки зренияИБ? Цель: отключить город от электричества © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 93/110
  94. 94. Знаем ли мы что атакуютв АСУ ТП? HMI software Несколько Human-Machine Interfaces (HMI) (компьютерные экраны и кнопки для людей) HMI“Lightboard” HMI Много Programmable Logic Controllers (PLC) device (ожидающая система и принимающая решения) PLC RTU Сотни Remote Terminal Units (RTU) (чтение сенсоров и контроль переключателей и клапанов/вентилей) RTU Процесс: Много тысяч переключателей, клапанов, и датчиков (температура, давление , поток и т.д.) © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 94/110
  95. 95. Учитывайте специфику: датчикиобычно не атакуют Дискретные сенсоры Выполняется условие или нет Высокий или низкий уровень угрозы Аналоговые сенсоры Конвертация непрерывных параметров (температура или поток) в аналоговый сигнал Сенсоры ничего не знают о процессе, который может быть атакован или о системе, которая может быть скомпрометирована «Оцифровка» сигнала осуществляется RTU, PLC, IED © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 95/110
  96. 96. И вновь о русских хакерах вИллинойсе Через несколько часов после заявления ФБР и DHS об отсутствии «русского следа» и неуязвимости насоса системы водоснабжения © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 96/110
  97. 97. И вновь о русских хакерах вИллинойсе © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 97/110
  98. 98. Что означает квалификация в области ИБ для АСУ ТП?Низкая квалификация “Обычная” квалификация Высокая квалификация Больше Скорейшее возможностей обнаружениедля атак до того, означает, что вы как обнаружат долго будете преступника находиться вне радара © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public злоумышленников 98/110
  99. 99. Но специалистов по ИБ для АСУ ТП вРоссии почти нет! ИТ-специалисты ИБ-специалисты Специалисты АСУ ТП Специалисты по ИБ АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 99/110
  100. 100. С чего можно начать прямо сейчас?! © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 100/110
  101. 101. Не забывайтебудущее АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 101/110
  102. 102. Домашняя АСУ ТП Cisco Home Energy Controller (CGH-100) • Экран Touch screen • Поддержка WiFi / Ethernet • Smart Energy Profile certified Zigbee interface • Управление из облака © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 102/110
  103. 103. Домашняя АСУ ТПИспользование Термостат Как экономить?Реакция на потребности Счет Контроль техники © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 103/110
  104. 104. Управление АСУ ТП из облака Ключевые элементы • Cisco Home Energy Controller (HEC) • Appliances and Peripherals • Smart Meter • Опыт пользователя • Cloud CPE3rd Party B2B Feeds Services (Retail Energy Providers, Google, Microsoft) Smart Plugs/ Smart Services Appliances/ HEC PCT Provisioning & Mgmt System Cisco Cloud Services Electricity Broadband Utility Portal Gas Network Energy Cisco Home Energy Database Controller Water (HEC) Utility Network DRMS & Heat Pluggable Electric Vehicle Utility Utility Portal Smart Meters Analytics Remote Access © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 104/110
  105. 105. Облачная АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 105/110
  106. 106. Заключение © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 106/110
  107. 107. 9 базовых процесса защиты АСУ ТП • Мониторинг и регистрация событий Мониторинг и • Расследование и сбор доказательстврасследование • Обнаружение и оценка угроз Управление • Управление рисками рисками и • Управление уязвимостями уязвимостями • SDLC • Планирование непрерывности бизнесаРеагирование и • Управление кризисомнепрерывность • Реагирование на инциденты © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 107/110
  108. 108. Как разработать свой стандарт? Специально для разработки отраслевых стандартов существует набор рекомендаций, которые должны включаться (не забываться) при создании собственного набора требований по безопасности АСУ ТП © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 108/110
  109. 109. Опыт в России есть! Надо тольконачать! © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 109/110
  110. 110. © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 110/110

×