Презентация с вебинара, посвящённого обзору практики аудитов информационной безопасности промышленных систем автоматизации и управления, проводимых компанией УЦСБ. Рассмотрены особенности и нюансы основных этапов - подготовка технического задания на проведение аудита, сбор, обработка и анализ информации в ходе самого аудита, а также визуализация и представление итоговых результатов.
Дата вебинара 19 ноября 2015 года.
Запись доступна на канале YouTube: https://youtu.be/XwKqgOcLhYA
Докладчик: Алексей Комаров
2. Серия вебинаров ИБ АСУ ТП
• Серия 1.Архитектура и основные компоненты АСУ ТП с точки зрения ИБ
• Серия 2.Взаимосвязь АСУ ТП с ИТ и основные отличия подходов к обеспечению безопасности
• Серия 3.Законодательство и требования регуляторов РФ,международный опыт в области
защиты АСУ ТП
• Серия 4.Практика проведения аудитов ИБ АСУТП
• Серия 5.Построение комплексной системы защиты АСУ ТП
• Серия 6.Управление ИБ в АСУ ТП и способы её автоматизации
• Серия 7.Система анализа и мониторинга состояния информационной безопасности
автоматизированных систем управления
• Серия 8.Защита АСУ ТП на примере решения УЦСБ DATAPK
• Серия 9.Типовые требования по обеспечению ИБ на примере системы автоматического
управления и регулирования компрессорного цеха
2
4. • Что понимаем под аудитом?
• Основные предпосылки для проведения аудита
• Порядок проведения аудита
• Практика проведения аудитов
• Статистические результаты проведения аудитов
• Выводы по итогам аудита
Содержание
5. Что понимаем по аудитом?
• Кто проводит?
• На соответствие чему?
• Обследование -это аудит?
• Пентест -это аудит?
6. Возможные определения
• Аудит информационной безопасности —системный
процесс получения объективных качественных и
количественных оценок о текущем состоянии
информационной безопасности компании в соответствии с
определенными критериями и показателями безопасности.
• Аудит информационной безопасности —процесс сбора и
анализа информации о системе для качественной или
количественной оценки уровня её защищённости от атак
злоумышленников.
6
7. Кто и на соответствие чему проводит аудит?
• По исполнителю:
• внутренний аудит
• внешний аудит
• комбинированный аудит
• Аудит всегда проводится на соответствие чему-то
• корпоративный стандарт
• законодательные требования
• лучшие практики
• здравый смысл
7
8. Обследование,пентест,аудит
• Обследование/исследование
• По сути -лишь инвентаризация
• Пентест (тест на проникновение)
• Осуществляется поиск «кратчайшего» пути/путей
• Не отличается полнотой и всеобъемлемостью
• Аудит
• Выявляются наиболее критичные угрозы
• Проверяется соответствие
• По итогам -рекомендации
• Обследование и пентест -лишь этапы аудита,служащие для сбора данных,
которые затем анализируются
8
9. Методы анализа данных в ходе аудита
• Анализ рисков
• Определяется индивидуальный набор требований безопасности,в наибольшей
степени учитывающий особенности конкретной системы,среды её
функционирования и существующие угрозы безопасности.
• Использование стандартов ИБ
• Стандарты определяют базовый набор требований безопасности,а в ходе аудита
определяется набор требований стандарта,соответствие которым нужно обеспечить.
• Комбинированный подход
• Базовый набор предъявляемых требований безопасности определяется стандартом.
Дополнительные требования с максимальным учётом особенностей конкретной
системы,формируются на основе анализа рисков.
9
10. Основные предпосылки для
проведения аудита
• Уязвимость компонентов АСУ ТП
• Инциденты ИБ в АСУ ТП
• Оценка текущего уровня защищённости
• Требования законодательства
• Анализ АСУ ТП как объекта
11. Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП
• Угрозы ИБ в АСУ ТП
• Инциденты ИБ в АСУ ТП
• Требования законодательства
• Анализ АСУ ТП как объекта
11
12. Уязвимость компонентов АСУ ТП
12
Результаты исследования программного
обеспечения 752 различных устрои<ств,
поддерживающих низкоуровневыи< протокол
HART, источник: Digital Security
Число обнаруженных уязвимостей в АСУ
ТП, источник: Positive Technologies
13. Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП
• Угрозы ИБ в АСУ ТП
• Инциденты ИБ в АСУ ТП
• Требования законодательства
• Анализ АСУ ТП как объекта
13
14. Предпосылки угроз ИБ в АСУ ТП
1.Применение современных сетевых технологий
2.Применение незащищенных промышленных протоколов (MODBUS,PROFIBUS и т.д.) поверх
традиционных сетевых (TCP/IP)
OSI Протокол
7 Modbus
6 -
5 -
4 -
3 -
2 RTU, ASCII
1 RS-232, RS-485
OSI Протокол
7 Modbus
6 -
5 -
4 TCP
3 IP
2
Ethernet
1
14
15. Предпосылки угроз ИБ в АСУ ТП
15
3.Применение традиционных ИТ-решений
4.Исследования безопасности АСУ ТП
2010
StuxnetГода Уязвимости
2005-2010 20
Года Уязвимости
2011-2012 162
16. Актуальные угрозы ИБ АСУ ТП
• Несанкционированное использование технологий удаленного доступа
• Атаки через офисную (корпоративную) сеть передачи данных
• Атаки на традиционные IT-компоненты,применяемые в АСУ ТП
• (D)DoS атаки
• Человеческие ошибки и злонамеренные действия персонала
• Распространение вредоносного ПО с помощью съемных носителей информации и
устройств,подключаемых к сети АСУ ТП
• Перехват,искажение и передача информации,циркулирующей в сети АСУ ТП
• Неавторизованный доступ к компонентам АСУ ТП
• Атаки на сеть передачи данных АСУ ТП
• Отказы оборудования,форс-мажор
16
Источник: Федеральное управление по информационной безопасности,Германия
Industrial Control System Security –Top 10 Threats and Countermeasures
17. Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП
• Угрозы ИБ в АСУ ТП
• Инциденты ИБ в АСУ ТП
• Требования законодательства
• Анализ АСУ ТП как объекта
17
18. В АСУ ТП происходят инциденты ИБ
18
Дата Страна Инцидент
декабрь 2014 Германия Федеральное управление по информационной безопасности
признало факт компьютерной атаки на сталелитейный завод, в
результате которой предприятию был нанесён ущерб.
июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT
отменены из-за хакерской атаки на IT-систему аэропорта
Варшавы.
февраль 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав
подключенную к интернету систему управления насосными
механизмами, контролирующими работу топливного хранилища.
март 2015 Россия Специалисты уральских оборонных предприятий обнаружили
необъяснимый сбой в иностранном оборудовании.
июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы
июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера
сентябрь 2015 США За последние 4 года на Минэнерго США было совершено 159
успешных кибератак
Некоторые инциденты ИБ АСУ ТП, источники: СМИ
http://ZLONOV.ru/category/incidents/
19. Инциденты ИБ происходят в различных секторах
19
Распределение инцидентов по секторам промышленности в 2014 году,
источник: ICS-CERT
20. Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП
• Угрозы ИБ в АСУ ТП
• Инциденты ИБ в АСУ ТП
• Требования законодательства
• Анализ АСУ ТП как объекта
20
21. Требования по защите АСУ ТП
21
2005
2007
2011
2012
2013
2014
Система признаков КВО
ФСТЭК
КСИИ
ФЗ №256
Основные направления…
О безопасности КИИ РФ
Приказ №31 ФСТЭК
Требования по ЗИ в АСУ ТП
http://ZLONOV.ru/2015/06/ics-security-regulations/
22. Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП
• Угрозы ИБ в АСУ ТП
• Инциденты ИБ в АСУ ТП
• Требования законодательства
• Анализ АСУ ТП как объекта
22
23. Зачем заказывают аудит ИБ АСУ ТП?
23
оценка текущего уровня
защищенности АСУ ТП
ущерб уязвимости
угрозы
контроль защищенности
доступ из смежных сетей
идентификация объектов защиты
классификация
Что такое
АСУ ТП?
уязвимости
классификация
угрозы
контроль защищенности
ущерб
ущерб
ущерб
угрозы
25. Цели аудита
• Качественно проведённый аудит ИБ АСУ ТП позволит
достичь следующих целей:
• получить объективную и независимую оценку текущего уровня
обеспечения ИБ АСУТП,с учетом корпоративных и отраслевых
документов,требований законодательства РФ и опыта лучших
мировых практик;
• запланировать реализацию комплекса мер,направленных на
повышение уровня защищённости АСУ ТП;
• выделить и обосновать актуальные технические требования к СЗИ
АСУ ТП.
25
26. Задачи аудита
• обследование организационных и технических мер обеспечения ИБ АСУ ТП;
• анализ защищённости АСУТП в виде тестирования эффективности принятых
защитных мер;
• оценка соответствия положениям корпоративных и отраслевых документов,
требованиям законодательства РФ и международных стандартов в области ИБ
АСУ ТП;
• анализ угроз ИБ и уязвимостей ИБ АСУ ТП,разработка модели угроз ИБ АСУ ТП;
• разработка организационно-технических рекомендаций (плана) по повышению
уровня ИБ АСУ ТП;
• разработка задания на проектирование и технических требований к СЗИ АСУ ТП.
26
30. Практика проведения
аудитов
• Важные нюансы при составлении ТЗ
• Особенности сбора данных
• Ограничения тестирований на проникновение
• Подход к моделированию угроз
• Модель нарушителя и сценарии реализации угроз
• Варианты оценки ущерба
• Представление результатов
31. Важные нюансы при составлении ТЗ
• Границы проведения аудита
• Перечень АСУ ТП -задан/должен быть определён
• Глубина аудита -инструментальный контроль?
• Результаты аудита
• Результаты аудита ИБ АСУ ТП -документ для руководства
• Отчёт об обследовании АСУ ТП
• Результаты оценки соответствия требованиям и анализа угроз и уязвимостей АСУ ТП
• План защиты АСУ ТП
• Квалификация участников
• Наличие лицензий ФСТЭК/ФСБ
• Опыт аналогичных работ
• Наличие квалифицированного персонала и материально-технических ресурсов
• Качество технической части предложения
31
32. Особенности некоторых этапов аудита
32
Обследование: Сбор данных
Обследование: Тестирование на
проникновение
Моделирование угроз
Представление результатов
43. Статистические результаты
проведения аудитов
• Статистика по проведённым аудитам
• Применяемые технические меры защиты
• Основные организационные мероприятия
• Комплекс мер по физической безопасности
44. Источники данных
• Результаты аудитов ИБ АСУ ТП,выполненных компанией
УЦСБ:
• В предприятиях металлургической отрасли и ТЭК
• Более 30 производственных объектах
• Включали более 150 АСУ ТП
44
46. Технические меры защиты
46
Сетевая безопасность • Обеспечивается для 88% объектов
• Для 17% АСУ ТП есть удаленный доступ из
корп. сети
Встроенные механизмы
защиты
• HMI – аутентификация, режим киоска,
ограничения доступа к меню
• Системное ПО – по умолчанию
• ПЛК – отключены
Антивирусная защита • Применяется в 25% АСУ ТП
• Обновляется в 11% АСУ ТП
Обновления • Своевременные для 8% АСУ ТП
✓
49. Выводы по итогам аудита
• План защиты АСУ ТП
• Технические средства vs Организационные меры
• Меры повышения защищённости
50. План защиты АСУ ТП -пример
• Рекомендации по повышению уровня защищённости АСУ ТП
• Рекомендации по выполнению требований отраслевых политик по обеспечению ИБ
• Организационные мероприятия
• Технические мероприятия
• Рекомендации по устранению выявленных уязвимостей ИБ АСУ ТП
• Рекомендации по устранению уязвимостей на организационном уровне АСУ ТП
• Рекомендации по устранению уязвимостей сети передачи данных АСУ ТП
• Рекомендации по устранению уязвимостей прикладного ПО АСУ ТП
• Рекомендации по устранению уязвимостей общесистемного ПО АСУ ТП
• Рекомендации по выполнению требований,утвержденных Приказом ФСТЭК России №31
• Организационные мероприятия
• Технические мероприятия
• Рекомендации по совершенствованию системы ИБ АСУ ТП
50
51. Не только технические средства защиты
• Опыт выполнения проектов по проведению
аудитов информационной безопасности
промышленных систем автоматизации и
управления на предприятиях ТЭК,в
металлургической отрасли и др.
показывает,что в качестве первоочередных
мер далеко не всегда требуется внедрение
технических средств.
• Существенно повысить уровень защищённости часто можно и без приобретения дорогостоящих средств
защиты.Грамотно выполненный квалифицированными специалистами аудит информационной
безопасности АСУ ТП позволяет определить правильные компенсирующие меры,эффективные как с точки
зрения обеспечиваемого уровня защищённости,так и с точки зрения экономической обоснованности.
• Применение же технических средств защиты должно обязательно учитывать особенности объекта защиты
–нужно принимать во внимание различные режимы работы АСУ ТП (штатный/нештатный,
автоматизированный/автоматический и т.д.),а также максимально исключить влияние средства защиты
непосредственно на сам технологический процесс.
51
Журнал "Information Security/ Информационная безопасность" #4, 2015
52. Меры повышения защищённости
• Первоочередные меры –меры,устраняющие критичные уязвимости ИБ
АСУ ТП и реализующие обязательные требования в области ИБ АСУ ТП
(отраслевые требования).
• Перспективные меры –выполнение организационных и технических
требований,утвержденных Приказом ФСТЭК России №31,и модернизация
существующей системы ИБ АСУ ТП.
• Для обеспечения сохранения инвестиций в существующие СрЗИ и
максимального учета отраслевых требований и требований
законодательства РФ в области ИБ АСУ ТП,при совершенствовании системы
ИБ рекомендуется использовать комплексный подход,заключающийся в
создании комплексной системы защиты информации (КСЗИ) АСУ ТП.
52
53. • Предпосылки для проведения аудита: уязвимости,угрозы,инциденты,
внутренние требования,законодательство,«что это?»
• Составление ТЗ на проведение аудита -важный этап
• Положительная практика проведения аудитов –она существует!
• Результаты проведения аудитов могут быть наглядными и
объективными
• Компенсирующие меры не обязательно должны быть техническими
• Комплесный подход к ИБ АСУ ТП -способ сохранения инвестиций (ИБ
АСУ ТП NON-STOP серия 5)
Заключение