SlideShare a Scribd company logo

PT ISIM. Обнаружение кибератак на промышленные объекты

А
Айдар Гилязов

Дмитрий Даренский, Positive Technologies

1 of 19
Download to read offline
PT ISIM Обнаружение кибер атак на промышленные объекты. И не только. ptsecurity.ru Даренский Дмитрий Руководитель практики промышленной кибербезопасности ddarensky@ptsecurity.com
Зачем мы создали PT ISIM? ptsecurity.ru
Безопасность АСУ ТП сегодня Более 160 000 промышленных систем оказались подключенными к Интернет
Статистика по выявленным уязвимостям
Проблемы, о которых все знают Большинство АСУ ТП (и всё что под ними подразумевается) УМЕЮТ КОНТРОЛИРОВАТЬ ПОВЕДЕНИЕ КОМПОНЕНТОВ В СВОЕЙ СЕТИ ОТЛИЧАЮТ СВОИ СЕТЕВЫЕ КОМПОНЕНТЫ ОТ ПОСТОРОННИХ ОТЛИЧАЮТ СВОЙ ТРАФИК ОТ ПОСТОРОННЕГО ВЫЯВЛЯЮТ АТАКИ НА СВОИ КОМПОНЕНТЫ И СЕТЕВЫЕ ПРОТОКОЛЫ ВЫЯВЛЯЮТ ЭКСПЛУАТАЦИЮ СВОИХ УЯЗВИМОСТЕЙ АНЛИЗИРУЮТ И НЕ РАССЛЕДУЮТ ИНЦИДЕНТЫ КИБЕРБЕЗОПАСНОСТИ НЕ
Постановка задачи Обнаружение подозрительной или опасной активности в сети Выявление атак на устройства и протоколы Выявление атаки на нарушение логики работы системы Выявление эксплуатации уязвимостей Возможность проведения расследований Без влияния на технологический процесс и сеть
PT ISIM не продукт, а решение СЕНСОР IndustrialSecurityIncidentManager VIEW SERVER OVERVIEW SERVER FORENSIC SERVER MANAGEMENT SERVER PROFESSIONAL SERVICES ИНСТРУМЕНТ SOC-ИНЖЕНЕРА ИНСТРУМЕНТ РАССЛЕДОВАНИЯ ИНСТРУМЕНТ АДМИНИСТРИРОВАНИЯ ЭКСПЕРТНЫЕ СЕРВИСЫ Необходимыйнаборинструментов
Ключевые возможности и особенности PT ISIM ptsecurity.ru
Назначение и функциональность Внутренние угрозы Внешние угрозы Ошибки конфигурации o Превентивное обнаружение действий злоумышленника o Контроль действий сотрудников и подрядчиков o Анализ защищенности компонентов сегментов АСУ ТП o Контроль сетевого окружения o Проведение расследований o Контроль доступа к удаленной прошивке o Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них; o Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий; o Помощь в планировании и принятии мер по устранению инцидентов и принятию мер по предотвращению повторного возникновения; o Выполнение требований регулирующих организаций
Пассивный сбор трафика без воздействия на АСУ ТП Подключение к SPAN или Mirroring port коммутатора технологической сети через дата диод.
Интерпретируемость событий- интеллектуальный разбор трафика Протокол: IEC104, Тип информационного объекта: T1_M_SP_NA_1, причина передачи: 11, объект информации 25 в состояние 0, отправитель: 172.50.0.52, получатель: 172.50.0.72 Сообщение IEC104 от 172.50.0.52 на 172.50.0.72: «Заземляющий нож QSG2: отключен» Исходный трафик Частичная обработка событий Интеллектуальная обработка событий в трафике 0000 23 12 14 00 0f 00 f4 01 00 fe 33 00 64 a1 2c 0c 92 05 10 f5 01 00 00 34 00 64 a1 2c 0c 92 05 10 0020 f6 01 00 07 34 00 64 a1 2c 0c 92 05 10 f7 01 00 12 06 00 64 a1 2c 0c 92 05 10 f8 01 00 15 06 00 0040 64 a1 2c 0c 92 05 10 f9 01 00 14 06 00 64 a1 2c 0c 92 05 10 fa 01 00 d2 00 00 64 a1 2c 0c 92 05 0060 10 fb 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fc 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fd 01 00 ff ff 0080 00 64 a1 2c 0c 92 05 10 fe 01 00 ff ff 00 64 a1 2c 0c 92 05 10 ff 01 00 ff ff 00 64 a1 2c 0c 92 00a0 05 10 00 02 00 d2 00 00 64 a1 2c 0c 92 05 10 01 02 00 d3 00 00 64 a1 2c 0c 92 05 10 02 02 00 d3 00c0 00 00 64 a1 2c 0c 92 05 10 03 02 00 e8 03 00 64 a1 2c 0c 92 05 10 04 02 00 e8 03 00 64 a1 2c 0c
Анализ инцидентов и выявление цепочек атак
Визуализация. Понятно любому специалисту 1. Цепочки атак 2. Атаки на сетевой карте 3. Атаки на технологической карте • Карта объектов сети и их состояние • Карта технологического процесса • Отображение состояния участков АСУ
Опыт проектирования и пилотирования ptsecurity.ru
Текущий опыт ПРОЕКТИРОВАНИЕ ПИЛОТИРОВАНИЕ ПРОЕКТЫ ВНЕДРЕНИЯ
Наш опыт. Что мы увидели на объектах • «Изолированные» сети АСУ ТП на практике оказываются не такими уж изолированными • «Изолированная» сеть не равно «не зараженная» • Сегментация сети АСУ ТП есть на бумаге, но не всегда на практике • На коммутаторе удаленного сегмента сети взаимодействуют не 8 подключенных хостов, но все хосты технологической сети • Большинство уязвимостей сети закладывались на этапе проектирования и внедрения • Утилиты и ПО скачиваются на рабочие станции с торрентов и устанавливаются без проверок на наличие вредоносов • «Свистки», торчащие в оборудовании месяцами и доступные из интернета – реальность
Что дает предприятиям внедрение PT ISIM? ptsecurity.ru
Что дает PT ISIM предприятию • Обнаружение простых и сложных атак на АСУ ТП и технологические процессы • Контроль сетевого окружения • Контроль изменений конфигурационных настроек • Выявление сетевых аномалий • Контроль сетевого взаимодействия в соответствии с собственными правилами и политиками • Выявление попыток эксплуатации уязвимостей • Информирование и отчетность на всех уровнях технологического управления • Возможность проведения расследований инцидентов • Масштабируемая решение с широким возможностями интеграции • Поддержка принятия решений о реализации необходимых и достаточных мер защиты и как результат оптимизация затрат на безопасность • Соответствие требованиям регуляторов в области ИБ
PT ISIM ptsecurity.ru Спасибо! Positive Technologies Industrial Security Incident Manager

Recommended

Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
Альбина Минуллина
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТП
Альбина Минуллина
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
NSX Security
NSX SecurityNSX Security
NSX Security
Альбина Минуллина
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
Альбина Минуллина
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Альбина Минуллина
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
Альбина Минуллина
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
Альбина Минуллина
 

Recommended

Управление кибербезопасностью
Управление кибербезопасностьюУправление кибербезопасностью
Управление кибербезопасностью
Альбина Минуллина
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТП
Альбина Минуллина
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
Альбина Минуллина
 
NSX Security
NSX SecurityNSX Security
NSX Security
Альбина Минуллина
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
Альбина Минуллина
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Альбина Минуллина
 
Победа над кибер вымогательством!
Победа над кибер вымогательством! Победа над кибер вымогательством!
Победа над кибер вымогательством!
Альбина Минуллина
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
Альбина Минуллина
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
Альбина Минуллина
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКА
Альбина Минуллина
 
Центры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТПЦентры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТП
Айдар Гилязов
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Kaspersky
 
От реального оборудования к виртуальному
От реального оборудования к виртуальномуОт реального оборудования к виртуальному
От реального оборудования к виртуальному
Альбина Минуллина
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
Альбина Минуллина
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Айдар Гилязов
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5
Альбина Минуллина
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
ЭЛВИС-ПЛЮС
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
Pete Kuzeev
 
Сергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомСергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытом
Kaspersky
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Kaspersky
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Cisco Russia
 
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Kaspersky
 
Развитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТПРазвитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТП
Альбина Минуллина
 
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Kaspersky
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентов
Альбина Минуллина
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Kaspersky
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Kaspersky
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасность
Cisco Russia
 
Модернизация ЦОДа
Модернизация ЦОДаМодернизация ЦОДа
Модернизация ЦОДа
Альбина Минуллина
 
WorkspaceOne
WorkspaceOneWorkspaceOne
WorkspaceOne
Альбина Минуллина
 

More Related Content

What's hot

Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
Альбина Минуллина
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКА
Альбина Минуллина
 
Центры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТПЦентры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТП
Айдар Гилязов
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Kaspersky
 
От реального оборудования к виртуальному
От реального оборудования к виртуальномуОт реального оборудования к виртуальному
От реального оборудования к виртуальному
Альбина Минуллина
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
Альбина Минуллина
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Айдар Гилязов
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5
Альбина Минуллина
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
ЭЛВИС-ПЛЮС
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
Pete Kuzeev
 
Сергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомСергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытом
Kaspersky
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Kaspersky
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Cisco Russia
 
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Kaspersky
 
Развитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТПРазвитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТП
Альбина Минуллина
 
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Kaspersky
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентов
Альбина Минуллина
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Kaspersky
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Kaspersky
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасность
Cisco Russia
 

What's hot (20)

Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
 
Построение центров ГосСОПКА
Построение центров ГосСОПКАПостроение центров ГосСОПКА
Построение центров ГосСОПКА
 
Центры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТПЦентры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТП
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
 
От реального оборудования к виртуальному
От реального оборудования к виртуальномуОт реального оборудования к виртуальному
От реального оборудования к виртуальному
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
SCADA v.0.5
SCADA v.0.5SCADA v.0.5
SCADA v.0.5
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
 
Сергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомСергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытом
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
 
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
 
Развитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТПРазвитие правового регулирования в области АСУ ТП
Развитие правового регулирования в области АСУ ТП
 
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
Александр Карпенко. Уровни зрелости АСУ ТП как объектов защиты и подходы к ун...
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентов
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасность
 

Viewers also liked

Модернизация ЦОДа
Модернизация ЦОДаМодернизация ЦОДа
Модернизация ЦОДа
Альбина Минуллина
 
WorkspaceOne
WorkspaceOneWorkspaceOne
WorkspaceOne
Альбина Минуллина
 
IBM Business Process Manager
IBM Business Process ManagerIBM Business Process Manager
IBM Business Process Manager
Айдар Гилязов
 
Инженерная инфраструктура АСУ ТП
Инженерная инфраструктура АСУ ТПИнженерная инфраструктура АСУ ТП
Инженерная инфраструктура АСУ ТП
Айдар Гилязов
 
Сетевые решения HUAWEI для корпоративной инфраструктуры
Сетевые решения HUAWEI для корпоративной инфраструктурыСетевые решения HUAWEI для корпоративной инфраструктуры
Сетевые решения HUAWEI для корпоративной инфраструктуры
Альбина Минуллина
 
HPE Aruba Mobile First
HPE Aruba Mobile FirstHPE Aruba Mobile First
HPE Aruba Mobile First
Альбина Минуллина
 
Применимость Agile-подходов в банке
Применимость Agile-подходов в банкеПрименимость Agile-подходов в банке
Применимость Agile-подходов в банке
Айдар Гилязов
 
Оборудование Huawei в сетях АСУ ТП
Оборудование Huawei в сетях АСУ ТПОборудование Huawei в сетях АСУ ТП
Оборудование Huawei в сетях АСУ ТП
Айдар Гилязов
 
Опыт построения комплексного катастрофоустойчивого решения NetApp и фрагмента...
Опыт построения комплексного катастрофоустойчивого решения NetApp и фрагмента...Опыт построения комплексного катастрофоустойчивого решения NetApp и фрагмента...
Опыт построения комплексного катастрофоустойчивого решения NetApp и фрагмента...
Айдар Гилязов
 
Атаки на банкоматы
Атаки на банкоматыАтаки на банкоматы
Атаки на банкоматы
Айдар Гилязов
 
Опыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахОпыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банках
Айдар Гилязов
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Альбина Минуллина
 
Законопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыЗаконопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктуры
Айдар Гилязов
 
All Flash системы хранения – примеры из реального опыта
All Flash системы хранения – примеры из реального опытаAll Flash системы хранения – примеры из реального опыта
All Flash системы хранения – примеры из реального опыта
Альбина Минуллина
 
Трансформация рабочих мест с помощью клиентских решений Dell ЕМС
Трансформация рабочих мест с помощью клиентских решений Dell ЕМСТрансформация рабочих мест с помощью клиентских решений Dell ЕМС
Трансформация рабочих мест с помощью клиентских решений Dell ЕМС
Айдар Гилязов
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)
Альбина Минуллина
 
FinCERT_основные направления деятельности и результаты работы
FinCERT_основные направления деятельности и результаты работыFinCERT_основные направления деятельности и результаты работы
FinCERT_основные направления деятельности и результаты работы
Айдар Гилязов
 
Технология плоского_прямого резервного копирования
Технология плоского_прямого резервного копированияТехнология плоского_прямого резервного копирования
Технология плоского_прямого резервного копирования
Альбина Минуллина
 
Использование технологий голосовй биометрии
Использование технологий голосовй биометрииИспользование технологий голосовй биометрии
Использование технологий голосовй биометрии
Айдар Гилязов
 
Практические возможности применения технологии Blockchain в банках
Практические возможности применения технологии Blockchain в банкахПрактические возможности применения технологии Blockchain в банках
Практические возможности применения технологии Blockchain в банках
Айдар Гилязов
 

Viewers also liked (20)

Модернизация ЦОДа
Модернизация ЦОДаМодернизация ЦОДа
Модернизация ЦОДа
 
WorkspaceOne
WorkspaceOneWorkspaceOne
WorkspaceOne
 
IBM Business Process Manager
IBM Business Process ManagerIBM Business Process Manager
IBM Business Process Manager
 
Инженерная инфраструктура АСУ ТП
Инженерная инфраструктура АСУ ТПИнженерная инфраструктура АСУ ТП
Инженерная инфраструктура АСУ ТП
 
Сетевые решения HUAWEI для корпоративной инфраструктуры
Сетевые решения HUAWEI для корпоративной инфраструктурыСетевые решения HUAWEI для корпоративной инфраструктуры
Сетевые решения HUAWEI для корпоративной инфраструктуры
 
HPE Aruba Mobile First
HPE Aruba Mobile FirstHPE Aruba Mobile First
HPE Aruba Mobile First
 
Применимость Agile-подходов в банке
Применимость Agile-подходов в банкеПрименимость Agile-подходов в банке
Применимость Agile-подходов в банке
 
Оборудование Huawei в сетях АСУ ТП
Оборудование Huawei в сетях АСУ ТПОборудование Huawei в сетях АСУ ТП
Оборудование Huawei в сетях АСУ ТП
 
Опыт построения комплексного катастрофоустойчивого решения NetApp и фрагмента...
Опыт построения комплексного катастрофоустойчивого решения NetApp и фрагмента...Опыт построения комплексного катастрофоустойчивого решения NetApp и фрагмента...
Опыт построения комплексного катастрофоустойчивого решения NetApp и фрагмента...
 
Атаки на банкоматы
Атаки на банкоматыАтаки на банкоматы
Атаки на банкоматы
 
Опыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахОпыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банках
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
 
Законопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктурыЗаконопроект по безопасности критической инфраструктуры
Законопроект по безопасности критической инфраструктуры
 
All Flash системы хранения – примеры из реального опыта
All Flash системы хранения – примеры из реального опытаAll Flash системы хранения – примеры из реального опыта
All Flash системы хранения – примеры из реального опыта
 
Трансформация рабочих мест с помощью клиентских решений Dell ЕМС
Трансформация рабочих мест с помощью клиентских решений Dell ЕМСТрансформация рабочих мест с помощью клиентских решений Dell ЕМС
Трансформация рабочих мест с помощью клиентских решений Dell ЕМС
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)
 
FinCERT_основные направления деятельности и результаты работы
FinCERT_основные направления деятельности и результаты работыFinCERT_основные направления деятельности и результаты работы
FinCERT_основные направления деятельности и результаты работы
 
Технология плоского_прямого резервного копирования
Технология плоского_прямого резервного копированияТехнология плоского_прямого резервного копирования
Технология плоского_прямого резервного копирования
 
Использование технологий голосовй биометрии
Использование технологий голосовй биометрииИспользование технологий голосовй биометрии
Использование технологий голосовй биометрии
 
Практические возможности применения технологии Blockchain в банках
Практические возможности применения технологии Blockchain в банкахПрактические возможности применения технологии Blockchain в банках
Практические возможности применения технологии Blockchain в банках
 

Similar to PT ISIM. Обнаружение кибератак на промышленные объекты

О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
Alexey Kachalin
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
Alexey Kachalin
 
Подход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктурПодход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктур
Компания УЦСБ
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденции
Cisco Russia
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Aleksey Lukatskiy
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS Security
Ilya Karpov
 
Брошюра DATAPK
Брошюра DATAPKБрошюра DATAPK
Брошюра DATAPK
Компания УЦСБ
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco
Cisco Russia
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
 
Брошюра DATAPK
Брошюра DATAPKБрошюра DATAPK
Брошюра DATAPK
Alexey Komarov
 
Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьРешение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьCisco Russia
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Kaspersky
 
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Kaspersky
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Cisco Russia
 
Electronika Security Manager: Система промышленного телевидения
Electronika Security Manager: Система промышленного телевиденияElectronika Security Manager: Система промышленного телевидения
Electronika Security Manager: Система промышленного телевидения
Андрей Кучеров
 
ГКС Надежность НПЗ v3.5 полная
ГКС Надежность НПЗ v3.5 полнаяГКС Надежность НПЗ v3.5 полная
ГКС Надежность НПЗ v3.5 полнаяGregory Kurkchan
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещей
Aleksey Lukatskiy
 
Умная квартира
Умная квартира Умная квартира
Умная квартира
Московский завод тепловой автоматики
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
DialogueScience
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалин
Diana Frolova
 

Similar to PT ISIM. Обнаружение кибератак на промышленные объекты (20)

О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
Подход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктурПодход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктур
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденции
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS Security
 
Брошюра DATAPK
Брошюра DATAPKБрошюра DATAPK
Брошюра DATAPK
 
Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco Архитектура технологических сетей и индустриальные решения Cisco
Архитектура технологических сетей и индустриальные решения Cisco
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
 
Брошюра DATAPK
Брошюра DATAPKБрошюра DATAPK
Брошюра DATAPK
 
Решение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасностьРешение Cisco Threat Defense (CTD) и кибербезопасность
Решение Cisco Threat Defense (CTD) и кибербезопасность
 
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
Василий Шауро. Развитие кибербезопасности АСУТП ​в условиях цифровизации пред...
 
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
Александр Волошин. Киберполигон "Цифровая энергетика". Исследования и разрабо...
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
 
Electronika Security Manager: Система промышленного телевидения
Electronika Security Manager: Система промышленного телевиденияElectronika Security Manager: Система промышленного телевидения
Electronika Security Manager: Система промышленного телевидения
 
ГКС Надежность НПЗ v3.5 полная
ГКС Надежность НПЗ v3.5 полнаяГКС Надежность НПЗ v3.5 полная
ГКС Надежность НПЗ v3.5 полная
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещей
 
Умная квартира
Умная квартира Умная квартира
Умная квартира
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалин
 

PT ISIM. Обнаружение кибератак на промышленные объекты

  • 1. PT ISIM Обнаружение кибер атак на промышленные объекты. И не только. ptsecurity.ru Даренский Дмитрий Руководитель практики промышленной кибербезопасности ddarensky@ptsecurity.com
  • 2. Зачем мы создали PT ISIM? ptsecurity.ru
  • 3. Безопасность АСУ ТП сегодня Более 160 000 промышленных систем оказались подключенными к Интернет
  • 5. Проблемы, о которых все знают Большинство АСУ ТП (и всё что под ними подразумевается) УМЕЮТ КОНТРОЛИРОВАТЬ ПОВЕДЕНИЕ КОМПОНЕНТОВ В СВОЕЙ СЕТИ ОТЛИЧАЮТ СВОИ СЕТЕВЫЕ КОМПОНЕНТЫ ОТ ПОСТОРОННИХ ОТЛИЧАЮТ СВОЙ ТРАФИК ОТ ПОСТОРОННЕГО ВЫЯВЛЯЮТ АТАКИ НА СВОИ КОМПОНЕНТЫ И СЕТЕВЫЕ ПРОТОКОЛЫ ВЫЯВЛЯЮТ ЭКСПЛУАТАЦИЮ СВОИХ УЯЗВИМОСТЕЙ АНЛИЗИРУЮТ И НЕ РАССЛЕДУЮТ ИНЦИДЕНТЫ КИБЕРБЕЗОПАСНОСТИ НЕ
  • 6. Постановка задачи Обнаружение подозрительной или опасной активности в сети Выявление атак на устройства и протоколы Выявление атаки на нарушение логики работы системы Выявление эксплуатации уязвимостей Возможность проведения расследований Без влияния на технологический процесс и сеть
  • 7. PT ISIM не продукт, а решение СЕНСОР IndustrialSecurityIncidentManager VIEW SERVER OVERVIEW SERVER FORENSIC SERVER MANAGEMENT SERVER PROFESSIONAL SERVICES ИНСТРУМЕНТ SOC-ИНЖЕНЕРА ИНСТРУМЕНТ РАССЛЕДОВАНИЯ ИНСТРУМЕНТ АДМИНИСТРИРОВАНИЯ ЭКСПЕРТНЫЕ СЕРВИСЫ Необходимыйнаборинструментов
  • 8. Ключевые возможности и особенности PT ISIM ptsecurity.ru
  • 9. Назначение и функциональность Внутренние угрозы Внешние угрозы Ошибки конфигурации o Превентивное обнаружение действий злоумышленника o Контроль действий сотрудников и подрядчиков o Анализ защищенности компонентов сегментов АСУ ТП o Контроль сетевого окружения o Проведение расследований o Контроль доступа к удаленной прошивке o Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них; o Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий; o Помощь в планировании и принятии мер по устранению инцидентов и принятию мер по предотвращению повторного возникновения; o Выполнение требований регулирующих организаций
  • 10. Пассивный сбор трафика без воздействия на АСУ ТП Подключение к SPAN или Mirroring port коммутатора технологической сети через дата диод.
  • 11. Интерпретируемость событий- интеллектуальный разбор трафика Протокол: IEC104, Тип информационного объекта: T1_M_SP_NA_1, причина передачи: 11, объект информации 25 в состояние 0, отправитель: 172.50.0.52, получатель: 172.50.0.72 Сообщение IEC104 от 172.50.0.52 на 172.50.0.72: «Заземляющий нож QSG2: отключен» Исходный трафик Частичная обработка событий Интеллектуальная обработка событий в трафике 0000 23 12 14 00 0f 00 f4 01 00 fe 33 00 64 a1 2c 0c 92 05 10 f5 01 00 00 34 00 64 a1 2c 0c 92 05 10 0020 f6 01 00 07 34 00 64 a1 2c 0c 92 05 10 f7 01 00 12 06 00 64 a1 2c 0c 92 05 10 f8 01 00 15 06 00 0040 64 a1 2c 0c 92 05 10 f9 01 00 14 06 00 64 a1 2c 0c 92 05 10 fa 01 00 d2 00 00 64 a1 2c 0c 92 05 0060 10 fb 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fc 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fd 01 00 ff ff 0080 00 64 a1 2c 0c 92 05 10 fe 01 00 ff ff 00 64 a1 2c 0c 92 05 10 ff 01 00 ff ff 00 64 a1 2c 0c 92 00a0 05 10 00 02 00 d2 00 00 64 a1 2c 0c 92 05 10 01 02 00 d3 00 00 64 a1 2c 0c 92 05 10 02 02 00 d3 00c0 00 00 64 a1 2c 0c 92 05 10 03 02 00 e8 03 00 64 a1 2c 0c 92 05 10 04 02 00 e8 03 00 64 a1 2c 0c
  • 12. Анализ инцидентов и выявление цепочек атак
  • 13. Визуализация. Понятно любому специалисту 1. Цепочки атак 2. Атаки на сетевой карте 3. Атаки на технологической карте • Карта объектов сети и их состояние • Карта технологического процесса • Отображение состояния участков АСУ
  • 14. Опыт проектирования и пилотирования ptsecurity.ru
  • 16. Наш опыт. Что мы увидели на объектах • «Изолированные» сети АСУ ТП на практике оказываются не такими уж изолированными • «Изолированная» сеть не равно «не зараженная» • Сегментация сети АСУ ТП есть на бумаге, но не всегда на практике • На коммутаторе удаленного сегмента сети взаимодействуют не 8 подключенных хостов, но все хосты технологической сети • Большинство уязвимостей сети закладывались на этапе проектирования и внедрения • Утилиты и ПО скачиваются на рабочие станции с торрентов и устанавливаются без проверок на наличие вредоносов • «Свистки», торчащие в оборудовании месяцами и доступные из интернета – реальность
  • 17. Что дает предприятиям внедрение PT ISIM? ptsecurity.ru
  • 18. Что дает PT ISIM предприятию • Обнаружение простых и сложных атак на АСУ ТП и технологические процессы • Контроль сетевого окружения • Контроль изменений конфигурационных настроек • Выявление сетевых аномалий • Контроль сетевого взаимодействия в соответствии с собственными правилами и политиками • Выявление попыток эксплуатации уязвимостей • Информирование и отчетность на всех уровнях технологического управления • Возможность проведения расследований инцидентов • Масштабируемая решение с широким возможностями интеграции • Поддержка принятия решений о реализации необходимых и достаточных мер защиты и как результат оптимизация затрат на безопасность • Соответствие требованиям регуляторов в области ИБ