PT ISIM
Обнаружение кибер атак
на промышленные
объекты.
И не только.
ptsecurity.ru
Даренский Дмитрий
Руководитель практики промышленной
кибербезопасности
ddarensky@ptsecurity.com
Зачем мы создали PT ISIM?
ptsecurity.ru
Безопасность АСУ ТП сегодня
Более 160 000 промышленных
систем оказались
подключенными к Интернет
Статистика по выявленным уязвимостям
Проблемы, о которых все знают
Большинство АСУ ТП (и всё что под ними подразумевается)
УМЕЮТ КОНТРОЛИРОВАТЬ ПОВЕДЕНИЕ КОМПОНЕНТОВ В СВОЕЙ СЕТИ
ОТЛИЧАЮТ СВОИ СЕТЕВЫЕ КОМПОНЕНТЫ ОТ ПОСТОРОННИХ
ОТЛИЧАЮТ СВОЙ ТРАФИК ОТ ПОСТОРОННЕГО
ВЫЯВЛЯЮТ АТАКИ НА СВОИ КОМПОНЕНТЫ И СЕТЕВЫЕ ПРОТОКОЛЫ
ВЫЯВЛЯЮТ ЭКСПЛУАТАЦИЮ СВОИХ УЯЗВИМОСТЕЙ
АНЛИЗИРУЮТ И НЕ РАССЛЕДУЮТ ИНЦИДЕНТЫ КИБЕРБЕЗОПАСНОСТИ
НЕ
Постановка задачи
Обнаружение подозрительной или опасной активности в сети
Выявление атак на устройства и протоколы
Выявление атаки на нарушение логики работы системы
Выявление эксплуатации уязвимостей
Возможность проведения расследований
Без влияния на
технологический
процесс и сеть
PT ISIM не продукт, а решение
СЕНСОР
IndustrialSecurityIncidentManager
VIEW SERVER
OVERVIEW SERVER
FORENSIC SERVER
MANAGEMENT SERVER
PROFESSIONAL SERVICES
ИНСТРУМЕНТ SOC-ИНЖЕНЕРА
ИНСТРУМЕНТ РАССЛЕДОВАНИЯ
ИНСТРУМЕНТ
АДМИНИСТРИРОВАНИЯ
ЭКСПЕРТНЫЕ СЕРВИСЫ
Необходимыйнаборинструментов
Ключевые возможности и особенности PT ISIM
ptsecurity.ru
Назначение и функциональность
Внутренние угрозы
Внешние угрозы
Ошибки конфигурации
o Превентивное обнаружение действий злоумышленника
o Контроль действий сотрудников и подрядчиков
o Анализ защищенности компонентов сегментов АСУ ТП
o Контроль сетевого окружения
o Проведение расследований
o Контроль доступа к удаленной прошивке
o Своевременное информирование лиц, ответственных за выявление
инцидентов и реагирование на них;
o Анализ инцидентов, в том числе определение источников и причин
возникновения инцидентов, а также оценка их последствий;
o Помощь в планировании и принятии мер по устранению инцидентов
и принятию мер по предотвращению повторного возникновения;
o Выполнение требований регулирующих организаций
Пассивный сбор трафика без воздействия на АСУ ТП
Подключение к SPAN или Mirroring port коммутатора технологической сети через дата диод.
Интерпретируемость событий- интеллектуальный разбор трафика
Протокол: IEC104, Тип информационного объекта: T1_M_SP_NA_1, причина передачи: 11,
объект информации 25 в состояние 0,
отправитель: 172.50.0.52, получатель: 172.50.0.72
Сообщение IEC104 от 172.50.0.52 на 172.50.0.72:
«Заземляющий нож QSG2: отключен»
Исходный трафик
Частичная обработка событий
Интеллектуальная обработка событий в трафике
0000 23 12 14 00 0f 00 f4 01 00 fe 33 00 64 a1 2c 0c 92 05 10 f5 01 00 00 34 00 64 a1 2c 0c 92 05 10
0020 f6 01 00 07 34 00 64 a1 2c 0c 92 05 10 f7 01 00 12 06 00 64 a1 2c 0c 92 05 10 f8 01 00 15 06 00
0040 64 a1 2c 0c 92 05 10 f9 01 00 14 06 00 64 a1 2c 0c 92 05 10 fa 01 00 d2 00 00 64 a1 2c 0c 92 05
0060 10 fb 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fc 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fd 01 00 ff ff
0080 00 64 a1 2c 0c 92 05 10 fe 01 00 ff ff 00 64 a1 2c 0c 92 05 10 ff 01 00 ff ff 00 64 a1 2c 0c 92
00a0 05 10 00 02 00 d2 00 00 64 a1 2c 0c 92 05 10 01 02 00 d3 00 00 64 a1 2c 0c 92 05 10 02 02 00 d3
00c0 00 00 64 a1 2c 0c 92 05 10 03 02 00 e8 03 00 64 a1 2c 0c 92 05 10 04 02 00 e8 03 00 64 a1 2c 0c
Анализ инцидентов и выявление цепочек атак
Визуализация. Понятно любому специалисту
1. Цепочки атак
2. Атаки на сетевой карте
3. Атаки на технологической карте
• Карта объектов сети и их состояние
• Карта технологического процесса
• Отображение состояния участков АСУ
Опыт проектирования и пилотирования
ptsecurity.ru
Текущий опыт
ПРОЕКТИРОВАНИЕ
ПИЛОТИРОВАНИЕ
ПРОЕКТЫ ВНЕДРЕНИЯ
Наш опыт. Что мы увидели на объектах
• «Изолированные» сети АСУ ТП на практике оказываются не такими
уж изолированными
• «Изолированная» сеть не равно «не зараженная»
• Сегментация сети АСУ ТП есть на бумаге, но не всегда на практике
• На коммутаторе удаленного сегмента сети взаимодействуют не 8
подключенных хостов, но все хосты технологической сети
• Большинство уязвимостей сети закладывались на этапе
проектирования и внедрения
• Утилиты и ПО скачиваются на рабочие станции с торрентов и
устанавливаются без проверок на наличие вредоносов
• «Свистки», торчащие в оборудовании месяцами и доступные из
интернета – реальность
Что дает предприятиям внедрение PT ISIM?
ptsecurity.ru
Что дает PT ISIM предприятию
• Обнаружение простых и сложных атак на АСУ ТП и технологические процессы
• Контроль сетевого окружения
• Контроль изменений конфигурационных настроек
• Выявление сетевых аномалий
• Контроль сетевого взаимодействия в соответствии с собственными правилами и политиками
• Выявление попыток эксплуатации уязвимостей
• Информирование и отчетность на всех уровнях технологического управления
• Возможность проведения расследований инцидентов
• Масштабируемая решение с широким возможностями интеграции
• Поддержка принятия решений о реализации необходимых и достаточных мер защиты и
как результат оптимизация затрат на безопасность
• Соответствие требованиям регуляторов в области ИБ
PT ISIM
ptsecurity.ru
Спасибо!
Positive Technologies
Industrial Security
Incident Manager

PT ISIM. Обнаружение кибератак на промышленные объекты

  • 1.
    PT ISIM Обнаружение кибератак на промышленные объекты. И не только. ptsecurity.ru Даренский Дмитрий Руководитель практики промышленной кибербезопасности ddarensky@ptsecurity.com
  • 2.
    Зачем мы создалиPT ISIM? ptsecurity.ru
  • 3.
    Безопасность АСУ ТПсегодня Более 160 000 промышленных систем оказались подключенными к Интернет
  • 4.
  • 5.
    Проблемы, о которыхвсе знают Большинство АСУ ТП (и всё что под ними подразумевается) УМЕЮТ КОНТРОЛИРОВАТЬ ПОВЕДЕНИЕ КОМПОНЕНТОВ В СВОЕЙ СЕТИ ОТЛИЧАЮТ СВОИ СЕТЕВЫЕ КОМПОНЕНТЫ ОТ ПОСТОРОННИХ ОТЛИЧАЮТ СВОЙ ТРАФИК ОТ ПОСТОРОННЕГО ВЫЯВЛЯЮТ АТАКИ НА СВОИ КОМПОНЕНТЫ И СЕТЕВЫЕ ПРОТОКОЛЫ ВЫЯВЛЯЮТ ЭКСПЛУАТАЦИЮ СВОИХ УЯЗВИМОСТЕЙ АНЛИЗИРУЮТ И НЕ РАССЛЕДУЮТ ИНЦИДЕНТЫ КИБЕРБЕЗОПАСНОСТИ НЕ
  • 6.
    Постановка задачи Обнаружение подозрительнойили опасной активности в сети Выявление атак на устройства и протоколы Выявление атаки на нарушение логики работы системы Выявление эксплуатации уязвимостей Возможность проведения расследований Без влияния на технологический процесс и сеть
  • 7.
    PT ISIM непродукт, а решение СЕНСОР IndustrialSecurityIncidentManager VIEW SERVER OVERVIEW SERVER FORENSIC SERVER MANAGEMENT SERVER PROFESSIONAL SERVICES ИНСТРУМЕНТ SOC-ИНЖЕНЕРА ИНСТРУМЕНТ РАССЛЕДОВАНИЯ ИНСТРУМЕНТ АДМИНИСТРИРОВАНИЯ ЭКСПЕРТНЫЕ СЕРВИСЫ Необходимыйнаборинструментов
  • 8.
    Ключевые возможности иособенности PT ISIM ptsecurity.ru
  • 9.
    Назначение и функциональность Внутренниеугрозы Внешние угрозы Ошибки конфигурации o Превентивное обнаружение действий злоумышленника o Контроль действий сотрудников и подрядчиков o Анализ защищенности компонентов сегментов АСУ ТП o Контроль сетевого окружения o Проведение расследований o Контроль доступа к удаленной прошивке o Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них; o Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий; o Помощь в планировании и принятии мер по устранению инцидентов и принятию мер по предотвращению повторного возникновения; o Выполнение требований регулирующих организаций
  • 10.
    Пассивный сбор трафикабез воздействия на АСУ ТП Подключение к SPAN или Mirroring port коммутатора технологической сети через дата диод.
  • 11.
    Интерпретируемость событий- интеллектуальныйразбор трафика Протокол: IEC104, Тип информационного объекта: T1_M_SP_NA_1, причина передачи: 11, объект информации 25 в состояние 0, отправитель: 172.50.0.52, получатель: 172.50.0.72 Сообщение IEC104 от 172.50.0.52 на 172.50.0.72: «Заземляющий нож QSG2: отключен» Исходный трафик Частичная обработка событий Интеллектуальная обработка событий в трафике 0000 23 12 14 00 0f 00 f4 01 00 fe 33 00 64 a1 2c 0c 92 05 10 f5 01 00 00 34 00 64 a1 2c 0c 92 05 10 0020 f6 01 00 07 34 00 64 a1 2c 0c 92 05 10 f7 01 00 12 06 00 64 a1 2c 0c 92 05 10 f8 01 00 15 06 00 0040 64 a1 2c 0c 92 05 10 f9 01 00 14 06 00 64 a1 2c 0c 92 05 10 fa 01 00 d2 00 00 64 a1 2c 0c 92 05 0060 10 fb 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fc 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fd 01 00 ff ff 0080 00 64 a1 2c 0c 92 05 10 fe 01 00 ff ff 00 64 a1 2c 0c 92 05 10 ff 01 00 ff ff 00 64 a1 2c 0c 92 00a0 05 10 00 02 00 d2 00 00 64 a1 2c 0c 92 05 10 01 02 00 d3 00 00 64 a1 2c 0c 92 05 10 02 02 00 d3 00c0 00 00 64 a1 2c 0c 92 05 10 03 02 00 e8 03 00 64 a1 2c 0c 92 05 10 04 02 00 e8 03 00 64 a1 2c 0c
  • 12.
    Анализ инцидентов ивыявление цепочек атак
  • 13.
    Визуализация. Понятно любомуспециалисту 1. Цепочки атак 2. Атаки на сетевой карте 3. Атаки на технологической карте • Карта объектов сети и их состояние • Карта технологического процесса • Отображение состояния участков АСУ
  • 14.
    Опыт проектирования ипилотирования ptsecurity.ru
  • 15.
  • 16.
    Наш опыт. Чтомы увидели на объектах • «Изолированные» сети АСУ ТП на практике оказываются не такими уж изолированными • «Изолированная» сеть не равно «не зараженная» • Сегментация сети АСУ ТП есть на бумаге, но не всегда на практике • На коммутаторе удаленного сегмента сети взаимодействуют не 8 подключенных хостов, но все хосты технологической сети • Большинство уязвимостей сети закладывались на этапе проектирования и внедрения • Утилиты и ПО скачиваются на рабочие станции с торрентов и устанавливаются без проверок на наличие вредоносов • «Свистки», торчащие в оборудовании месяцами и доступные из интернета – реальность
  • 17.
    Что дает предприятиямвнедрение PT ISIM? ptsecurity.ru
  • 18.
    Что дает PTISIM предприятию • Обнаружение простых и сложных атак на АСУ ТП и технологические процессы • Контроль сетевого окружения • Контроль изменений конфигурационных настроек • Выявление сетевых аномалий • Контроль сетевого взаимодействия в соответствии с собственными правилами и политиками • Выявление попыток эксплуатации уязвимостей • Информирование и отчетность на всех уровнях технологического управления • Возможность проведения расследований инцидентов • Масштабируемая решение с широким возможностями интеграции • Поддержка принятия решений о реализации необходимых и достаточных мер защиты и как результат оптимизация затрат на безопасность • Соответствие требованиям регуляторов в области ИБ
  • 19.