2. STUXNET
2
6 10
300
Flame Gauss Stuxnet
Первый общеизвестный пример кибер-
оружия, 2010 год
► Сложная вредоносная программа, нацеленная
на индустриальные системы; более 300,000
инцидентов в мире. «Лаборатория Касперского»
принимала участие в глобальном
расследовании; наши аналитики обнаружили
ключевые детали в структуре Stuxnet.
► «Лаборатория Касперского» обнаружила
следующие поколения кибер-оружия: Gauss,
Flame, NetTraveler, RedOctober, IfceFog и т.д.
Approximate number of incidents (k)
Threat landscape
3. АТАКИ НА КРИТИЧЕСКУЮ
ИНФРАСТРУКТУРУ ПРОДОЛЖАЮТСЯ
3 Threat landscape
ICS-CERT 2013 год
u 256 Инцидентов
u 20% - Технологические сети
u 56% - Энергетический сектор
«Control System Security Survey»,
SANS, 2014
u 9% специалистов уверены
в отсутствии уязвимостей
u 16% признались о том что не построен процесс
поиска уязвимостей
4. НЕМНОГО СТАТИСТИКИ
HMI
8% Wifi
5%Mobile Devices
4%
Корпоративные
сети
33%Удаленный доступ
25%
Интернет
соединения
8%
Внешние подрядчики
9%
USB порты
8%
Вирусные
атаки; 35%
SCADA
неисправно
сти;
19 %
Ошибки
операторов;
11%
Ошибки ПО;
23%
Другие; 12%
Основные причины инцидентов в индустриальных сетях, RISI
Annual Summary 2013
35% - вирусные атаки. Методы проникновения.
5. ЧТО ЗАТРУДНЯЕТ ПОСТРОЕНИЕ
ЗАЩИТЫ?
5
►Недостаточная осведомленность, смесь слухов и реальности, недостаток
данных
►Информационные системы в промышленности:
►Старые
►Незащищенные
►С трудом поддаются обновлению
►Типовые «офисные» средства ИБ не подходят
►Недостаток навыков ИБ, и обще-принятой практики ИБ АСУ ТП
Threat landscape
6. ПРИЧИНЫ ИНЦИДЕНТОВ
6
ТАРГЕТИРОВАНЫЕ КИБЕРАТАКИ
§ Шпионаж, саботаж, кража данных, могут вестись
одновременно в корпоративных и промышленных
сетях;
§ Могут обходить средства защиты в чрезвычайных
ситуациях;
§ Могут эффективно скрываться от систем
комплексного мониторинга и аудита безопасности;
§ Предназначены для долгосрочного скрытого
присутствия в целевых системах;
§ Трудно определить использованный метод
проникновения.
СЛУЧАЙНЫЕ ЗАРАЖЕНИЯ И СЕТЕВЫЕ АТАКИ
§ Промышленные информационные системы
уязвимы для "непромышленных" угроз, таких как
сетевые атаки,черви итп
§ Высокая вероятность случайного заражения или
атаки;
§ Быстрое распространение атаки;
§ Могут нарушить функционирование управляющей
единицы (любой SCADA компонент, в том числе, и
HMI ПЛК);
§ Трудно установить источник и способ заражения;
§ Не всегда возможно полностью устранить
заражение информационной системы, что делает
возможными повторные эпидемии;
7. ПРИЧИНЫ ИНЦИДЕНТОВ
7
ОШИБКИ ОПЕРАТОРОВ И ИНЖЕНЕРОВ
§ Не могут быть устранены лишь
организационными мерами;
§ Сложно предсказать и моделировать;
§ Зачастую не могут быть определены
техническими мерами, что затрудняет
анализ и расследование инцидентов.
ДЕЙСТВИЯ ИНСАЙДЕРОВ
§ Осведомлены о технологических процессах;
§ Способны найти слабые места в промышленных
системах безопасности;
§ Способны обойти системы аудита / мониторинга;
§ Могут находиться в сговоре с операторами системы
управления.
9. ВЕРХНИЙ УРОВЕНЬ SCADA СИСТЕМ
9
§ Уязвимые Windows-ПК используемые в
технологических сетях;
§ Доступ к ERP/MES системам или Интернет;
§ Неконтролируемое использование
приложений;
§ Неавторизованное подключение 3G
модемов/точек доступа;
ВЕКТОРЫ АТАК
§ Неконтролируемое использование USB
накопителей;
§ Неконтролируемое использование устройств
контрагентов/подрядчиков на
технологических площадках;
§ Использование уязвимых необновляемых
приложений;
ПРОДУКТЫ
Kaspersky Endpoint Security (Industrial Mode)
Critical Infrastructure Protection (CIP Endpoint) – релиз Q4 2015
10. ВЕРХНИЙ УРОВЕНЬ SCADA СИСТЕМ
10 Kaspersky Lab Strategy
Виды угроз Технологии «Лаборатории Касперского»
Вирусы, трояны, эксплойты , угрозы «нулевого
дня»
Передовое антивирусное ядро объединяющее сигнатурные,
эвристические, проактивные и облачные технологии IT-
безопасности
Сетевые атаки на промышленные узлы Системы обнаружения и блокировки сетевых атак, сетевой экран
Запуск нежелательного ПО на АРМе
операторов/инженеров
Контроль запуска программ на основе черных и белых списков, а
также применение сценариев «Запрет по умолчанию» и
«Разрешение по умолчанию»
Уязвимости в технологическом программном
обеспечении
Мониторинг уязвимостей
Подключение несанкционированных устройств
Контроль устройств, позволяющий ограничивать подключение
устройств на основе типа, серийного номера или способа
подключения устройства
Вероятность блокировки антивирусным ПО
промышленного ПО
Проведение сертификации на совместимость с ведущими
промышленными вендорами (Siemens, Rockwell и т.д.). Система
предварительной проверки антивирусных баз
11. ЛОЖНЫЕ СРАБАТЫВАНИЯ
Internet
DMZ
Workstation
Update Agent
Notebook
Email Server
File Severs
1
Corporate Network
Kaspersky
Security
Center
2
Testing the updates
3 4
Data historianConfiguration
server
Data
collection
server
Engineering
workstationHMI
5
1. Download AV Updates on the
UA
2. Download AV Updates on the
KSC
3. Testing AV Updates on the test
stand
4. Test Result
5. Updating AV clients in the
Industrial Network
11
Industrial Network
Необходимо производить проверку обновлений перед развертыванием их на защищаемые
объекты.
13. СРЕДНИЙ УРОВЕНЬ SCADA СИСТЕМ
13
• Несанкционированное подключение устройств;
• Нелегитимное обновление прошивок устройств;
• Отправка нелегитимных управляющих команд с целью нарушения ТП;
• Внесение изменений в данные, передаваемые по технологической сети;
ВЕКТОРЫ АТАК
ПРОДУКТ
Kaspersky Trusted Monitoring System (TMS)
15. СРЕДНИЙ УРОВЕНЬ SCADA СИСТЕМ
15
Меры по обеспечению безопасности Функционал TMS
Контроль целостности технологической сети TMS NAC
Обнаружение сетевых аномалий TMS IPS
Обнаружение управляющих команд, приводящих к нарушению ТП TMS DPI
Мониторинг событий безопасности TMS UI, KSC
Построение корреляций между событиями в технологической сети и прочими событиями безопасности TMS SIEM Integration
Оценка хронологии инцидента, масштабов его распространений и нанесенного ущерба TMS Logging
17. ОСНОВНЫЕ ЗАДАЧИ
17 Kaspersky Lab Strategy
Контроль целостности сети
Идентификация устройств в сети.
Обнаружение новых устройств в режиме реального
времени.
Уведомление о подключении новых устройств.
Контроль целостности PLC-проектов
Регулярное отслеживание изменений микропрограмм
PLC.
Оповещение о незапланированных изменениях.
Обнаружение сетевых аномалий
Детектирование нелигитимных команди сетевого
трафика,выводящих из строя системы управления
(SCADA, HMI, PLC).
Обнаружение в индустриальной сети присутствия
вредоносного ПО,локализация очагов заражения.
Обнаружение в индустриальной сети действий
злоумышленников,не использующих вредоносное ПО.
Обнаружение управляющих команд, приводящих к
нарушению технологического процесса
Обнаружение командна
остановку/перезагрузку/перепрошивку PLC
Обнаружение команд,устанавливающих
недопустимые/нежелательные значения ключевых
параметров управления технологическим процессом
18. СРЕДНИЙ УРОВЕНЬ SCADA СИСТЕМ
18 Kaspersky Lab Strategy
Виды угроз Технологии «Лаборатории Касперского»
Несанкционированное изменение
технологического процесса из за ошибок
оператора или вредоносного воздействия
Модули контроля и мониторинга информационного
взаимодействия между промышленными объектами в
технологической сети
Появление несанкционированных сетевых
устройств внутри технологической сети
Контроль целостность вверенного участка технологической
сети, позволяющий обнаруживать появление в ней новых
сетевых устройств
Изменение целостности прошивок
контроллеров
Контроль целостности прошивок защищаемых контроллеров
Сотрудники ИБ не оповещены о состоянии
технологической сети
Система мониторинга состояния технологичеких процессов
20. ОСНОВНЫЕ ЗАДАЧИ
20
Уровни защиты Продукты для защиты индустриальной сети
Корпоративная сеть • Kaspersky Total Security для бизнеса;
• Kaspersky Security for virtualization
Верхний уровень SCADA
систем
• Kaspersky Security for ICS (CIP)
• Kaspersky Security Center
• Kaspersky Anti-Virus for Windows Servers Enterprise Edition
Средний уровень SCADA
систем
Kaspersky Trusted Monitoring System
Проектирование и
внедрение
Kaspersky Professional Services
Поддержка MSA for ICS
21. ФОРМАТЫ СОТРУДНИЧЕСТВА
21
1) СОИСПОЛНИТЕЛИ В КОМПЛЕКСНЫХ ПРОЕКТАХ
• Участие экспертов ЛК в обследовании,pen-test’ах,построении
модели угроз
• Участие в создании проектной документации
• Адаптация продуктов под нужды и процессы заказчика
• Участие во внедрении
• Сервисы расширенной поддержки
2) РЕФЕРЕНСНЫЕ ПРОЕКТЫ
• Выбор репрезентативной площадки
• Обследование экспертами ЛК
• Модель угроз, рисков
• Внедрение средств защиты ЛК