2. Содержание
SCADA системы
Источники угроз
Подходы к построению системы безопасности
Подход ЛК к защите промышленных сетей
Ключевые преимущества
PAGE 2 |
6. Почему SCADA системы важны
«Хакерская атака на такие системы способна вернуть нас
в каменный век. Мы должны научиться защищать их
хотя бы ради своих детей» Е. Касперский
PAGE 6 | 1 2 3 4 5 6 7
7. Различия в построении промышленных и корпоративных
сетей
Промышленная сеть Корпоративная сеть
Focus Доступность КонфиденциальностьFocus
Целостность Целостность
Конфиденциальность Доступность
PAGE 7 | 1 2 3 4 5 6 7
9. Источники угроз
Оборудование
Архитектура
Угрозы Персонал
Программное
обеспечение
PAGE 9 | 1 2 3 4 5 6 7
10. Источники угроз. ѐрхитектура
Открытые индустриальные сети
Индустриальные сети
переплетены с корпоративными
Wi-Fi со слабыми паролями
PAGE 10 | 1 2 3 4 5 6 7
11. Источники угроз. Оборудование
Контроллеры уязвимы
Siemens не закрывает уязвимость уже 600+ дней
Популярные эксплойты уже содержат модули для
взлома контроллеров (Metasploit etc)
Контроллеры возможно перепрошить через сеть
Сбои в работе оборудования
Ошибки при проектировании оборудования
PAGE 11 | 1 2 3 4 5 6 7
12. Источники угроз. Оборудование
The vulnerable products
include (Digital Security):
General Electric D20ME
Koyo/Direct LOGIC H4-ES
Rockwell Automation/Allen-Bradley
ControlLogix
Rockwell Automation/Allen-Bradley
MicroLogix
Schneider Electric Modicon Quantum
Schweitzer SEL-2032
Source:
http://www.wired.com/threatlevel/2012/01/s
cada-exploits/
PAGE 12 | 1 2 3 4 5 6 7
13. Источники угроз. Программное обеспечение
Использование для промышленного назначения ОС
общего назначения, не предназначенных для этого
(Windows, иногда Linux)
В целях сохранения работоспособности редко
устанавливаются обновления, а так же не всегда
антивирусная защита
Отсутствует аутентификация и шифрование в
используемых промышленных протоколах
PAGE 13 | 1 2 3 4 5 6 7
14. Источники угроз. Персонал
Использование настроек по умолчанию
Контроль осуществляется с помощью «бумажных
регламентов», которые не работаю в сегодняшних условиях
Инженеры проектирующие технологические комплексы
являются экспертами в своей области, но не в безопасности
При проектировании систем весь фокус смещен в сторону
технологического процесса, не уделяя должного внимания
безопасности
PAGE 14 | 1 2 3 4 5 6 7
16. Методики построения защиты
Многоуровневая архитектура безопасности:
Физическая изоляция уровня и ограничение прав доступа
Уровни безопасности должны быть автономными
Должны быть четко определены точки взаимодействия между
уровнями
Комбинация методов защиты
No protection Defense-in-depth protection
Security cell
Возможная
Бухгалтерия
Buchhaltung
атака
Access rights
Qualitätssicherung
Контроль качества Authorizations for
users and groups
Operator rights
Virus scanners
Object
(e) .g. system, Protection of protocols
computer and archives
Производство
Produktionshalle
вход
Zugangskontrolle Object (e.g. system, computer)
PAGE 16 | 1 2 3 4 5 6 7
17. Недостатки подходов
Практически невозможно физически изолировать
промышленную сеть
Использование общедоступных технологий и
стандартов
При проектирование оборудования не уделяется
должное внимание безопасности
PAGE 17 | 1 2 3 4 5 6 7
19. Концепция построения
Наличие надежной системы, которой можно доверять и она
не скомпрометирована
Считаем промышленную сеть заведомо зараженной,
поэтому проверяем корректность любых управляющих
воздействий
Эксперты и инженеры определяют сценарии работы
Мониторинг и контроль всего технологического процесса, а
не каждого элемента в отдельности
PAGE 19 | 1 2 3 4 5 6 7
20. Описание подхода
Промышленная
сеть
АРМ АРМ
фильтр фильтр фильтр
Контроллер Контроллер Контроллер
Объект Объект Объект
управления управления управления
Система управления
и мониторинга
PAGE 20 | 1 2 3 4 5 6 7
22. Преимущества
Универсальный инструмент обеспечения безопасности,
независимый от производителей железа и ПО
Наличие доверенной зоны, служащей основой для принятия
решений
Защита от неизвестных угроз и уязвимостей (благодаря
комбинации нашего подхода и защищенной ОС)
Мониторинг и контроль всего технологического процесса, а не
ТОЛЬКО каждого элемента в отдельности
PAGE 22 | 1 2 3 4 5 6 7
