Презентация посвящена современным вызовам и архитектуре корпоративных и промышленных сетей, включая автоматизированные системы управления. Рассматриваются уязвимости и целевые атаки на промышленные сети, а также основы функционирования центра управления безопасности (SOC). Документ также описывает примеры атак и важность слаженной работы команды SOC для эффективного реагирования на инциденты.

1. Очень длинное
название презентации
SOC для КИИ
Евгений Генгринович
ИЗРАИЛЬСКИЙ ОПЫТ

2. Корпоративные сети.
Новые вызовы.

3. Промышленные сети.
Новые вызовы.
• Не стандартная
• Изолированная
• Локальная поддержка
• Автоматизированная
Промышленность
3.0
• Операционно-совместимая
• Прозрачная
• Удаленно конфигурируемая
• Автоматическая
Промышленность
4.0
Более высокая
устойчивость
Более высокая
продуктивность
Повышенная
гибкость
Снижение затрат
на эксплуатацию

4. Архитектура построения
корпоративной сети
Офисные информационные
технологии (ИТ)
Корпоративная сеть компании
Промышленная сеть (уровень АСУ)
Автоматизированные системы
управления производством (АСУ)
Аналитика
Визуализация
МСЭ
Рабочие станции
SCADA
Сервера
Сервер связи Архивы
Сервер
Приложений
PLC
RTU
I/O
IED
IED
RTU
Сенсор
Сенсор
Локальный
терминал
Интерфейсные
каналы
Маршрутизатор
Каналы
связи
АСКУЭ
Другие центры
управления
Корпоративная
сеть
IED IED
IED
IED
IED
IED
I/O
Автоматизированные системы
управления технологическими
процессами (АСУТП)
Operation
Technologies
(OT)
Information
Technologies
(IT)

5. Архитектура
средневекового замка
1.Линии обороны. Система укреплений состояла из двух
концентрических кругов толстых стен. Оборона внешних стен велась с
территории нижнего двора, а защитники внутренних укреплений
отбивались от врага из башен и из верхнего двора. Замок окружал ров с
водой, а запасы питьевой воды на случай осады хранились в специальных
емкостях в нижнем дворе.
2.Внешняя стена. Скошенное утолщение у основания
стены защищало ее от подкопа или подрыва.
3.Бойницы. Узкие щели бойниц, почти неуязвимые для
снарядов, обычно расширялись внутрь, образуя в стене нишу. Лучники
наблюдали оттуда за врагом и, прицелившись, стреляли.
4.Сводчатые галереи. Вдоль стен трапезной тянется
сводчатая галерея. Внутренний двор служит убежищем для жителей замка
в случае нападения наемников, охранявших внешнюю стену крепости.
5.Дополнительная страховка. Стены верхнего
яруса укреплены мощным утолщением в виде ската, ширина которого в
основании достигала 24,3 метра. Эта массивная конструкция выполняла
роль гигантского контрфорса, выдержав даже землетрясения.
6.Хитрости обороны. От восточной надвратной башни
к донжону вели пандусы. Петляющий тесный проход мешал стрельбе из
стенобитных орудий. Даже резкая смена света и тени сбивала с толку.
Источник:
http://masterok.livejournal.com/
1478534.html

6. Комплексный много-
уровневый набор угроз
Целевые атаки
▪ использование
офисной сети, с
целью
проникновения в
промышленную
сеть
▪ использование
компонентов АСУ
для доступа к
АСУТП
▪ использование
сети АСУТП для
атаки, путем
скрытого
подключения
несанкционирован
ных устройств.
Сервер SCADAХронология Контроллер домена
Интернет
Сетевые серверы
Серверы электронной почты
Аутентификационные серверы
Информационная
Система Планирования
Ресурсов Предприятия
Внутренняя база данных и серверы
IED
Офисные информационные
технологии (ИТ)
Корпоративная сеть компании
Промышленная сеть (уровень АСУ)
Автоматизированные системы
управления производством (АСУ)
Промышленная сеть (объект)
Автоматизированные системы
управления технологическим
процессом (АСУТП)

7. Пример вектора атаки

8. Классические уязвимости
промышленных сетей
Шлюзы между
офисной и
промышленной
сетями
Отсутствие
наблюдаемости
Параллельные
вектора атак по
нескольким
направлениям
Уязвимые
протоколы
SCADA

9. Примеры нестандартных
атак на промышленные сети
Социальные сети
Опытный диспетчер электросетевой компании увлекался пленочной фотографией,
общался в социальных сетях в соответствующих форумах, обменивался наиболее
удачными фотографиями, часто демонстрировал фотографии детей и окружающей
природы. Для оцифровки своих пленок пользовался услугами известного в городе
фотоателье. После расследования киберинцидента на объекте, находящемся в сфере его
ответственности было установлено, что причиной послужила целевая атака, запущенная
через флешку из фотоателье, которую он просматривал на рабочем месте.
Инсайд
Джип-пикап проломил дыру во внешней стене подстанции, водитель, попав внутрь,
предпринял попытку отключить ряд присоединений, от которых была запитана
близлежащая военная база. Исполнитель ничего не понимая, ни в ИТ, ни в Энергетике,
просто имел подготовленную заранее, точную схему своих действий на объекте.

10. Традиционный SOC:
Множество средств и потоков данных

11. SOC и футбольные вратари
Что общего?
Александр Селихов – молодой вратарь Спартака
Джанлуиджи Буффон в 39 лет, действующий
голкипер Ювентуса и сборной Италии

12. SOC – это прежде всего
слаженная команда

13. SOC – современные
подходы

14. SOC – архитектура

15. SOC – центр управления
Современные SOC применяют передовые
методологии обработки данных для управления
процессами обеспечения информационной
безопасности

16. SOC – программное
обеспечение
Программное обеспечение
SOC- это основа системы,
в которой вся информация
принимается и
анализируется, генерируя
полную картину
информированности об
обстановке (Unified
Situation Awareness Picture
- USAP) для эффективного
и точного реагирования
C&C Командная работа
Управление событиями
Управление доступом
Связь
Реагирование на события
Данные в реальном
времени
Контроль датчиков

17. SOC – примеры

18. SOC – мобильный центр
Server’s
Room
Separating
Isolating
Scren
Control
Room

19. SOC – полезность
внедрения

20. Процент инцидентов,
устраненных в течение 6-ти часов

21. Базовые принципы
современного SOC
▪ Визуализация процессов в интуитивно-понятном интерфейсе
▪ Разумное управление угрозами на основе бизнес рисков
▪ Создание иерархии инцидентов по приоритетам
▪ Снижение требований к квалификационной подготовке персонала ИБ
▪ Сокращение времени до начала реагирования
▪ Выстраивание процесса управления в кризисной ситуации за
пределами команды SOC
▪ Обеспечение информированности участников процесса
▪ Измерение и улучшение характеристик работы SOC

22. СПАСИБО!
АДРЕС
115114, Россия, Москва,
ул. Дербеневская, д.20/27
Тел. +7 (499) 502-13-75
E-mail: egengrinovich@iitdgroup.ru
Контакты:
OOO «ITD Systems»
CYBERBIT Commercial Solutions Ltd.
Cyber Security Group Ltd.
2Bsecure LTD.
Презентация подготовлена на
материалах компаний: