SlideShare a Scribd company logo

Анализ реального взлома нефтяной компании с Ближнего Востока

Cisco Russia
Cisco Russia

Запись: https://www.youtube.com/watch?v=WOoQwWp2HIg Безопасность АСУ ТП – это тема, которая с одной стороны волнует умы многих специалистов ввиду ее новизны и местами возникшего вокруг нее ореола таинственности, а с другой – вокруг этой темы слишком много слухов, домыслов, мифов, связанных с отсутствием большого количества реальных кейсов, на примере которых можно было бы изучить методы, используемые злоумышленниками. Мы решили поделиться одним из таких кейсов, в котором специалистам компании Cisco довелось участвовать.

Technology
1 of 37
Download to read offline
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Взлом одной из нефтяных компаний Ближнего Востока Анализ реального случая Алексей Лукацкий Бизнес-консультант по безопасности 28 May 2015
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 What about a Stuxnet-style exploit?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Часто мы судим об атаках на АСУ ТП из СМИ •  http://www.wired.com/2015/01/german-steel-mill-hack- destruction/ Манипуляция в АСУ ТП, предотвратившая отключение доменной печи Доступ в индустриальный сегмент через бизнес сеть Доступ в бизнес-сеть через узконаправленный фишинг Компрометация множества систем: это привело к невозможности отключения Злоумышленник обладал высокой квалификацией и знанием по атакуемой системе
Атака на нефтяную компанию. Кейс 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Факт •  Проникновение в индустриальный сегмент нефтяной компании (Ближний Восток) Как произошло •  Использование методов социального инжиниринга для воздействия на оператора ночной смены, «отдыхающего» в Facebook, с последующей компрометацией его ПК и проникновением в индустриальный сегмент Последствия •  3 дня простоя А это то, с чем пришлось столкнуться на практике
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Сценарий проведенной атаки: случай №1 Злоумышленник нашел в Facebook оператора ночной смены Злоумышленник «подружился» с оператором Нарушитель ищет персональные данные оператора Нарушитель использовал социальный инжиниринг Оператор открывает фейковый линк и заражается Нарушитель скачивает базу данных SAM & подбирает пароль Нарушитель входит в систему, запускает процедуру shutdown Оператор реагирует очень медленно (не верит, что это с ним происходит!) Злоумышленник меняет условия работы АСУ ТП Удаленная площадка теряет функцию удаленного запуска Удаленная площадка остается недоступной в течение 3+ дней Снижение объемов переработки нефтепродуктов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 Фокус атаки был на нефтепереработку Добыча Транспортировка Переработка
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Хотя атака могла быть направлена и на другие АСУ ТП Разведка Разработка Добыча Морские платформы Обработка Транспорт Хранение & Транспорт Торговля Очистка Маркетинг Маркетинг Исследования & Разработка, Инжиниринг, Высокопроизводительные вычисления Source: Cisco IBSG Oil & Gas Team, May 2011- in collaboration with Global Oil & Gas BDMs Note- excludes alternative energy such as wind etc ГазНефтьKey Офисное оборудование, Call Center, ЦОДы Добыча Хранение и транспорт Переработка
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Ночь… пустыня, скучающий оператор и Facebook 1970-е 2010-е
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Социальная сеть как точка отсчета атаки •  Активный поиск интересующих кандидатов В том числе и для последующей разработки – атака может происходить спустя месяцы, когда бдительность притупляется •  Привлечение интересующего кандидата за счет изучения его интересов и привычек Люди не склонны скрывать эти сведения •  Предложение дружбы Возможно с разных фальшивых учетных записей
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Но иногда вы сами помогаете хакерам •  Установив «дружеские» взаимоотношения в социальной сети и выждав время, нарушитель пытается заразить компьютер оператора ночной смены •  Эта ссылка отсылает вас на сайт с «потрясным» видео, которое просит установить вас последнюю версию Flash player или отсутствующий кодек
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Фальшивый сайт заражает ПК оператора ночной смены •  Ночью обычно внимание притупляется •  При отсутствии движухи (инцидентов) человек скучает •  Нарушитель учел психологию и физиологию оператора нефтяной компании, а также и часовой пояс, в котором она находится
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Другой вектор заражения – через электронную почту
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 И вновь оператор попадает на фишинговый сайт
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Настройки браузера только облегчают заражение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Дальнейшие действия предсказуемы •  Скачивание базы хешей паролей и использование инструментария для их подбора •  Этап возможен за счет использования «устаревшей», необновляемой и уязвимой платформы •  С реквизитами доступа можно осуществлять уже дальнейшее проникновение Уровень 0 Распределенные I/O Уровень 3 Управление и контроль Уровень 2 Контроль процессов Уровень 1 Программируемая автоматизация Уровень 4 Планирование и логистика Уровень 5 Корпоративная сеть Сенсоры, исполнител ьные устройства & RTUs PLCs HMIs, alarms & alerting Комнаты управления, рабочие станции, сервера, БД Бэкофис, email, инвентаризация, производительность, и т.д. Инфраструктура корпоративной сети, поддерживаемая корпоративным ИТ Особые вендора COTS АСУ ТП Общее ПО Железо Модель Пурдью
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Насколько это типично?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 АСУ ТП – это часть целого Филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Аналитический центр Talos Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Это не единственный случай – нефтянка в фокусе Источник: база данных инцидентов RISI
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Вопреки мифам, многие ICS не изолированы Источник: база данных инцидентов RISI
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Чисто локальные инциденты происходят гораздо реже Источник: база данных инцидентов RISI
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Внешний нарушитель меньше знает, но больше может Источник: база данных инцидентов RISI
Атака на нефтяную компанию. Кейс 2
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Злоумышленник нашел в Facebook оператора ночной смены Злоумышленник «подружился» с оператором Нарушитель ищет персональные данные оператора Нарушитель использует недовольство оператора работой Нарушитель обсуждает способы дополнительного заработка Нарушитель делится «экспертизой» (вре- доносным ПО) Оператор использует ПО для изменения условий работы АСУ ТП Запущено изменение процесса выпуска нефтепродукта Нарушитель ждет, когда процесс пойдет «не туда» Измененный процесс приводит к нарушению свойств нефтепродукта Уничтожения некачественного нефтепродукта Финансовый ущерб и затраты на PR Сценарий проведенной атаки: случай №2
Атака на нефтяную компанию. Кейс 3
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Заражение вредоносным кодом через флешку •  Conficker (KIDO) заражение НПЗ – неопубликовано •  Description – Cyber Assault. Вирус поразил Windows компьютеры и продолжал распространение. Привел к нарушению трафика DCS контроллеров, приведшего к их остановке. •  Attack Vector – Вирус принесен на Flash USB носителе контрактника от вендора (предположительная причина) •  Vulnerability – Уязвимость на Windows хостах, соединенных с DCS контроллерами. •  Damage Caused – НПЗ потерял контроль над производством на целый день. Финансовые потери более UK£ 500,000
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Что было сделано?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 Эталонная архитектура в ИБ АСУ ТП Общая политика, управление и учет контекста в области IoT-безопасности Конвергированная структура политик (IT/OT) Управление политиками на оконечных устройствах Управление идентификацией Конфигурация и управление обновлениями Инициализация Управление учетными данными Нормативное соответствие AAA Агрегация контекста и совместное использование Облачная безопасность Защита приложений Открытые и партнерские API-интерфейсы Обнаружение уязвимостей и вредоносного ПО Сбор телеметрии и анализ угроз Управление журналами/ SIEM и их сохранение Экспертиза (напр. Что произошло?) Мониторинг и контроль приложений IoE с сохранением состояния Детализованное управление доступом (Гость/ подрядчик, сотрудник и вещи) Удаленный доступ для обслуживания устройств, процессов и систем управления Профилирование IoT-устройств и оценка защищенности Аутентификация и управление ключами доступа 802.1X, MAB, Гостевые (в т.ч. устаревшие), 802.11i, 802.15.4 Транспортное шифрование (802.11i, TLS, 802.1AE…) Исследования, анализ и защита от угроз (в т.ч. в облаке) Применение политик (Сеть) Безопасность на транспортном уровне Сообщество Intel Сетевая безопасность IoT-устройств (FW/IPS/VPN) Безопасность на физическом уровне Обнаружение Мониторинг РеагированиеАнализ Безопасность устройств TPM, HSM, аттестаты безопасности, безопасное хранение
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Управление и безопасность Уровень 1 Устройство Уровень 0 Центр управления Уровень 3 Устаревшая   RTU   Сети безопасности и управления процессами Мультисервисные сети Ист. данные HMI Отсек питания Безопасность   Процесс   Питание   Процесс Контроллер Контроллер Контроллер Серийные и неразъемные соед. Ethernet-процессы Ethernet-мультисервисы WAN Беспроводн. соед. ТранспортRFID SIEM Сенсор   Движок   Клапан   Драйвер   Насос   Прерыватель   Монитор   питания   Стартер   Выключатель   Системы безопасности Принтер Оборудование SIEM Система SCADA Головная станция Рабочие станции оператора и разработчика Сервер автоматизации процессов системы SIEM SIEM Обработка и распред. ист. данных Серверы приложений Операционные бизнес-системы SIEM SIEM SIEM Надежность и безопасность Система управления производством (MES) SIEM SIEM Распределенная система управления (DCS) SIEM SIEM Контроллер доменов Корп. сеть Уровни 4-5 Ист. данные SIEM Анти- вирус WSUS SIEM SIEM Сервер удаленной разработки SIEM Сервер терминального оборудования SIEM ДМЗ Уровень 3.5 Телекоммуникации на операционном уровне Беспроводн. сети Интернет Контроль Уровень 2 Системы видеонаблюдения Контроль доступа Голос Мобильные сотрудники Беспроводн. сенсор Контроллер Сенсор   Выключатель   Безопасность Архитектура безопасности нефтяной компании
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Подрядчик Когда Что Где Как 9:00-17:00 ноутбук Ячейка 1 Проводн. Традиционный RBAC и политики HMI Rockwell Automation Stratix 8000 Коммутатор доступа уровня 2 Ввод- вывод Контроллер Диск Ячейка/зона 1 Ввод- вывод HMI Контроллер Volt PTP Коммутатор уровня доступа 2 и Протокол REP Ячейка/зона 2 Роль Авторизация Контр. Ячейка 2: Разр. CIP Разр. http Ячейка 1: Запрет IED IED Станционная шина IED IED Шина процессов Подстанция Операции SCADA инж АКТИВЫ инж Планиро- вание инж Удаленное управление R Подтв. авар. сигн. R Точечная разметка R Точка ручного обновл. R Откр/Закр HMI R R R Выход HMI R R R Мониторинг и контроль операций Возможности для инноваций ISE + промышл. коммутаторы Отслеживание Безопасный доступ для локальных пользователей
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Безопасный доступ для локальных пользователей Сеть доступа Контроллер Мультисервисная шина Производственная сеть Полевая сеть Буровая площадка Трансп. зона Умные города Беспроводная IPS OMS dACL VLAN Тег группы безопасности XРоль ИТ-персонал Поставщик Когда 9:00-17:00 ВТ Что Ноутбук Ноутбук Где Центр обработки данных Трансп. зона Как Wi-Fi Проводн. Wi-Fi Проводн. Аутенти- фикация Камеры IP-телефоны WWW Согласованная политика доступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32 Безопасный удаленный доступ Интернет Корпоративная сеть WAN Корпоративный экстранет Аварийное переключен ие канала Сервер удаленного доступа Удаленный специалист или партнер Корпоративный удаленный инженер Межсетевой экран корпоративного периметра Стек коммутаторов EtherNet/IP SSLVPН IPSEC . Производственная зона Производственные операции Операции и контроль Домен офиса Корпоративная зона ДМЗ Уровни 4 и 5 Уровень 3 Интернет Ячейки/зоны / Уровни 0-2 •  Корпоративная сеть à Сеть OT •  Интернет -> Корпоративная сеть -> Сеть OT •  Сети VPN - без клиента, тонкий клиент, толстый клиент •  Унифицированное управление проводным, беспроводным и удаленным доступом Сеть WAN поставщика услуг Корпоративная сеть Частная сеть WAN компании NMS Каталог SIEM Сервисы безопасности Сеть автоматизации подстанций OMS Шлюз РАСПРЕДЕЛЕННЫЕ СЕРВИСЫ OMS AMI/DA RTU Реле PMU Теле- защита ЗАЩИТА И УПРАВЛЕНИЕ Secure Business Partner Network
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33 Мониторинг и контроль доступа устройств и механизмов •  Безопасность портов и централизованное управление •  Реестр сетевых индустриальных систем •  Идентификация и профилирование IoT-устройств IoT-сети Соотв. MAC MAC IP ACL 00:00:23:67:89:ab 10.1.1.1 ABB Сайт1 dc:05:75:92:cd:bd 10.1.2.3 Siemens Сайт2 e4:90:69:34:9d:ab 10.1.2.5 Rockwell Сайт3 Контроллер CIP ABB Сайт1 RTU DNP Siemens Сайт1 IED Modbus Rockwell Сайт2 HMI OCP GE Сайт2 CAУправл. Реестр — номер 1 среди 20 критических методов управления безопасностью Сенсор IoT-устройств (в будущем) 802.1x Клиент
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34 Защита периметра NERC CIP (Защита критически важной инфраструктуры)NIST SP-800-82: Руководство по безопасности систем промышленного управления (ICS) OMS Сервер приложений OMS Архив исторических данных Рабочая станция Корпоративная сеть PLC PLC HMI Сеть управления р ений Антивирусный сервер Сеть WAN поставщика услуг WAN Частная сеть WAN компании Подстанция OMS HMI РАСПРЕДЕЛЕННЫЕ СЕРВИСЫ OMS AMI/DA RTU Реле PMU Теле- защита ЗАЩИТА И УПРАВЛЕНИЕ Центр управления SCADA OMSEMS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35 Извлеченные уроки Урок Мероприятия Индустриальный сегмент не всегда изолирован от внешнего мира Контроль и мониторинг соединений Сегментация АСУТПшный персонал не всегда в теме ИБ Повышение осведомленности Регулярные тренинги по ИБ Учет психологии Работа с персоналом Не всегда можно активно блокировать какие-то действия и операции Пассивный мониторинг для раннего предупреждения Использование функционала сетевого оборудования Процесс нельзя останавливать Акцент на мониторинг, а не активное блокирование Стандартные ИТ/ИБ-принципы и правила не срабатывают Обучение по промышленной ИБ Корпоративные решения по ИБ не всегда применимы Использование как традиционных корпоративных, так и специализированных ICS-решений по ИБ Взлом ИБ АСУ ТП - это не всегда что-то сложное Все, что написано выше
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36 Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37 Благодарю за внимание

Recommended

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Cisco Russia
 
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
Cisco Russia
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
 
Безопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспектыБезопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспекты
Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Cisco Russia
 

Recommended

Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
Cisco Russia
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
 
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Решения Cisco и их соответствие требованиям 17-го приказа ФСТЭК по защите гос...
Cisco Russia
 
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
Cisco Russia
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
 
Безопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспектыБезопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспекты
Aleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Физическая безопасность от Cisco: новинки компании, новые реалии рынка, измен...
Cisco Russia
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
Aleksey Lukatskiy
 
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
Cisco Russia
 
Международный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктурМеждународный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктур
Aleksey Lukatskiy
 
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязиОсновные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Cisco Russia
 
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFEАрхитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
Cisco Russia
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
Cisco Russia
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медали
КРОК
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Aleksey Lukatskiy
 
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Expolink
 
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
 
Сертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорСертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. Обзор
Cisco Russia
 
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Cisco Russia
 
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
Криптография в АСУ ТП: необходимость, дань моде или желание заработатьКриптография в АСУ ТП: необходимость, дань моде или желание заработать
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
Cisco Russia
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
Cisco Russia
 
Целенаправленные угрозы
Целенаправленные угрозыЦеленаправленные угрозы
Целенаправленные угрозы
Aleksey Lukatskiy
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!
Компания УЦСБ
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
 
RST2014_Saratov_EnergyStorageDevices'DistributedManagementSystem
RST2014_Saratov_EnergyStorageDevices'DistributedManagementSystemRST2014_Saratov_EnergyStorageDevices'DistributedManagementSystem
RST2014_Saratov_EnergyStorageDevices'DistributedManagementSystem
RussianStartupTour
 
Стандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТПСтандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТП
Cisco Russia
 

More Related Content

What's hot

Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
 
Международный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктурМеждународный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктур
Aleksey Lukatskiy
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Aleksey Lukatskiy
 
Целенаправленные угрозы
Целенаправленные угрозыЦеленаправленные угрозы
Целенаправленные угрозы
Aleksey Lukatskiy
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
 

What's hot (20)

Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
 
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
 
Международный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктурМеждународный опыт защиты критических инфраструктур
Международный опыт защиты критических инфраструктур
 
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязиОсновные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
 
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFEАрхитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
 
Сетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медалиСетевая безопасность: две стороны одной медали
Сетевая безопасность: две стороны одной медали
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
Palo Alto Networks. Евгений Кутумин. "Платформа Palo Alto Networks для защиты...
 
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
 
Сертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорСертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. Обзор
 
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
 
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
Криптография в АСУ ТП: необходимость, дань моде или желание заработатьКриптография в АСУ ТП: необходимость, дань моде или желание заработать
Криптография в АСУ ТП: необходимость, дань моде или желание заработать
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
 
Целенаправленные угрозы
Целенаправленные угрозыЦеленаправленные угрозы
Целенаправленные угрозы
 
S-terra, держи марку!
S-terra, держи марку!S-terra, держи марку!
S-terra, держи марку!
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
 

Viewers also liked

Стандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТПСтандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТП
Cisco Russia
 

Viewers also liked (20)

RST2014_Saratov_EnergyStorageDevices'DistributedManagementSystem
RST2014_Saratov_EnergyStorageDevices'DistributedManagementSystemRST2014_Saratov_EnergyStorageDevices'DistributedManagementSystem
RST2014_Saratov_EnergyStorageDevices'DistributedManagementSystem
 
Стандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТПСтандарты безопасности АСУ ТП
Стандарты безопасности АСУ ТП
 
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
SOC and Enterprise Security. Аспекты внедрения. Декабрь 2012
 
CISSP new 2015 domain structure review (RUS)
CISSP new 2015 domain structure review (RUS)CISSP new 2015 domain structure review (RUS)
CISSP new 2015 domain structure review (RUS)
 
Internal Threats in Kazakhstan. Cyber crime. How to defend. Cyber Security
Internal Threats in Kazakhstan. Cyber crime. How to defend. Cyber SecurityInternal Threats in Kazakhstan. Cyber crime. How to defend. Cyber Security
Internal Threats in Kazakhstan. Cyber crime. How to defend. Cyber Security
 
IT-Task. Максим Степченков. "Примеры использования SIEM системы для решения р...
IT-Task. Максим Степченков. "Примеры использования SIEM системы для решения р...IT-Task. Максим Степченков. "Примеры использования SIEM системы для решения р...
IT-Task. Максим Степченков. "Примеры использования SIEM системы для решения р...
 
SIEM-система как основа для выявления компьютерных атак несигнатурными методами
SIEM-система как основа для выявления компьютерных атак несигнатурными методамиSIEM-система как основа для выявления компьютерных атак несигнатурными методами
SIEM-система как основа для выявления компьютерных атак несигнатурными методами
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Operational Analytics on Splunk
Operational Analytics on SplunkOperational Analytics on Splunk
Operational Analytics on Splunk
 
Splunk live мегафон 2015 - v4
Splunk live мегафон 2015 - v4Splunk live мегафон 2015 - v4
Splunk live мегафон 2015 - v4
 
Solar inView - Безопасность под контролем
Solar inView - Безопасность под контролемSolar inView - Безопасность под контролем
Solar inView - Безопасность под контролем
 
11 nov splunk_conf_мониторинг доступности услуг в мегафон
11 nov splunk_conf_мониторинг доступности услуг в мегафон11 nov splunk_conf_мониторинг доступности услуг в мегафон
11 nov splunk_conf_мониторинг доступности услуг в мегафон
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБ
 
Splunk in Staples: IT Operations
Splunk in Staples: IT OperationsSplunk in Staples: IT Operations
Splunk in Staples: IT Operations
 
Splunk in Nordstrom: IT Operations
Splunk in Nordstrom: IT OperationsSplunk in Nordstrom: IT Operations
Splunk in Nordstrom: IT Operations
 
Splunk in John Lewis: Business Analytics
Splunk in John Lewis: Business AnalyticsSplunk in John Lewis: Business Analytics
Splunk in John Lewis: Business Analytics
 
Немного о Splunk в Yota
Немного о Splunk в YotaНемного о Splunk в Yota
Немного о Splunk в Yota
 
Splunk sberbank cib
Splunk sberbank cibSplunk sberbank cib
Splunk sberbank cib
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 

Similar to Анализ реального взлома нефтяной компании с Ближнего Востока

алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat Defense
Cisco Russia
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
Cisco Russia
 

Similar to Анализ реального взлома нефтяной компании с Ближнего Востока (20)

Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
CISCO. Алексей Лукацкий: "Тенденции в области угроз безопасности"
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
 
Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015Полугодовой отчет Cisco по информационной безопасности 2015
Полугодовой отчет Cisco по информационной безопасности 2015
 
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итогиИнформационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итоги
 
Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...Локализация производства продукции компании Cisco на территории России. Расши...
Локализация производства продукции компании Cisco на территории России. Расши...
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat Defense
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
 
Сети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератакеСети управления. Поддержка доступности сетей при кибератаке
Сети управления. Поддержка доступности сетей при кибератаке
 
Решения по обеспечению защиты индустриальных сетей.
Решения по обеспечению защиты индустриальных сетей.Решения по обеспечению защиты индустриальных сетей.
Решения по обеспечению защиты индустриальных сетей.
 
МСЭ нового поколения, смотрящий глубже и шире
МСЭ нового поколения, смотрящий глубже и ширеМСЭ нового поколения, смотрящий глубже и шире
МСЭ нового поколения, смотрящий глубже и шире
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
 
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
3 скакуна, несущих информационную безопасность вперед и стратегия Cisco по их...
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
Cognitive Threat Analytics
Cognitive Threat AnalyticsCognitive Threat Analytics
Cognitive Threat Analytics
 

More from Cisco Russia

Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
 

More from Cisco Russia (20)

Service portfolio 18
Service portfolio 18Service portfolio 18
Service portfolio 18
 
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
 
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareКлиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
 
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
 
Cisco Catalyst 9500
Cisco Catalyst 9500Cisco Catalyst 9500
Cisco Catalyst 9500
 
Cisco Catalyst 9400
Cisco Catalyst 9400Cisco Catalyst 9400
Cisco Catalyst 9400
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPsCisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
 
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиПромышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
 
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
 
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 годГодовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
 
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений CiscoБезопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
 
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
 

Анализ реального взлома нефтяной компании с Ближнего Востока

  • 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Взлом одной из нефтяных компаний Ближнего Востока Анализ реального случая Алексей Лукацкий Бизнес-консультант по безопасности 28 May 2015
  • 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 What about a Stuxnet-style exploit?
  • 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Часто мы судим об атаках на АСУ ТП из СМИ •  http://www.wired.com/2015/01/german-steel-mill-hack- destruction/ Манипуляция в АСУ ТП, предотвратившая отключение доменной печи Доступ в индустриальный сегмент через бизнес сеть Доступ в бизнес-сеть через узконаправленный фишинг Компрометация множества систем: это привело к невозможности отключения Злоумышленник обладал высокой квалификацией и знанием по атакуемой системе
  • 4. Атака на нефтяную компанию. Кейс 1
  • 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Факт •  Проникновение в индустриальный сегмент нефтяной компании (Ближний Восток) Как произошло •  Использование методов социального инжиниринга для воздействия на оператора ночной смены, «отдыхающего» в Facebook, с последующей компрометацией его ПК и проникновением в индустриальный сегмент Последствия •  3 дня простоя А это то, с чем пришлось столкнуться на практике
  • 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Сценарий проведенной атаки: случай №1 Злоумышленник нашел в Facebook оператора ночной смены Злоумышленник «подружился» с оператором Нарушитель ищет персональные данные оператора Нарушитель использовал социальный инжиниринг Оператор открывает фейковый линк и заражается Нарушитель скачивает базу данных SAM & подбирает пароль Нарушитель входит в систему, запускает процедуру shutdown Оператор реагирует очень медленно (не верит, что это с ним происходит!) Злоумышленник меняет условия работы АСУ ТП Удаленная площадка теряет функцию удаленного запуска Удаленная площадка остается недоступной в течение 3+ дней Снижение объемов переработки нефтепродуктов
  • 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 Фокус атаки был на нефтепереработку Добыча Транспортировка Переработка
  • 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Хотя атака могла быть направлена и на другие АСУ ТП Разведка Разработка Добыча Морские платформы Обработка Транспорт Хранение & Транспорт Торговля Очистка Маркетинг Маркетинг Исследования & Разработка, Инжиниринг, Высокопроизводительные вычисления Source: Cisco IBSG Oil & Gas Team, May 2011- in collaboration with Global Oil & Gas BDMs Note- excludes alternative energy such as wind etc ГазНефтьKey Офисное оборудование, Call Center, ЦОДы Добыча Хранение и транспорт Переработка
  • 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Ночь… пустыня, скучающий оператор и Facebook 1970-е 2010-е
  • 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Социальная сеть как точка отсчета атаки •  Активный поиск интересующих кандидатов В том числе и для последующей разработки – атака может происходить спустя месяцы, когда бдительность притупляется •  Привлечение интересующего кандидата за счет изучения его интересов и привычек Люди не склонны скрывать эти сведения •  Предложение дружбы Возможно с разных фальшивых учетных записей
  • 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Но иногда вы сами помогаете хакерам •  Установив «дружеские» взаимоотношения в социальной сети и выждав время, нарушитель пытается заразить компьютер оператора ночной смены •  Эта ссылка отсылает вас на сайт с «потрясным» видео, которое просит установить вас последнюю версию Flash player или отсутствующий кодек
  • 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Фальшивый сайт заражает ПК оператора ночной смены •  Ночью обычно внимание притупляется •  При отсутствии движухи (инцидентов) человек скучает •  Нарушитель учел психологию и физиологию оператора нефтяной компании, а также и часовой пояс, в котором она находится
  • 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Другой вектор заражения – через электронную почту
  • 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 И вновь оператор попадает на фишинговый сайт
  • 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Настройки браузера только облегчают заражение
  • 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 Дальнейшие действия предсказуемы •  Скачивание базы хешей паролей и использование инструментария для их подбора •  Этап возможен за счет использования «устаревшей», необновляемой и уязвимой платформы •  С реквизитами доступа можно осуществлять уже дальнейшее проникновение Уровень 0 Распределенные I/O Уровень 3 Управление и контроль Уровень 2 Контроль процессов Уровень 1 Программируемая автоматизация Уровень 4 Планирование и логистика Уровень 5 Корпоративная сеть Сенсоры, исполнител ьные устройства & RTUs PLCs HMIs, alarms & alerting Комнаты управления, рабочие станции, сервера, БД Бэкофис, email, инвентаризация, производительность, и т.д. Инфраструктура корпоративной сети, поддерживаемая корпоративным ИТ Особые вендора COTS АСУ ТП Общее ПО Железо Модель Пурдью
  • 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Насколько это типично?
  • 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 АСУ ТП – это часть целого Филиалы Кампус Центр обработки данных Интернет ASA ISR IPS ASA Почта Веб ISE Active Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные сервисы ISR-G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный ЦОД Физический ЦОД Аналитический центр Talos Удаленные устройства Доступ Облачный шлюз безопасности Облачный шлюз безопасности Матрица ASA, (сеть SDN) АСУ ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг
  • 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Это не единственный случай – нефтянка в фокусе Источник: база данных инцидентов RISI
  • 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Вопреки мифам, многие ICS не изолированы Источник: база данных инцидентов RISI
  • 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Чисто локальные инциденты происходят гораздо реже Источник: база данных инцидентов RISI
  • 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Внешний нарушитель меньше знает, но больше может Источник: база данных инцидентов RISI
  • 23. Атака на нефтяную компанию. Кейс 2
  • 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Злоумышленник нашел в Facebook оператора ночной смены Злоумышленник «подружился» с оператором Нарушитель ищет персональные данные оператора Нарушитель использует недовольство оператора работой Нарушитель обсуждает способы дополнительного заработка Нарушитель делится «экспертизой» (вре- доносным ПО) Оператор использует ПО для изменения условий работы АСУ ТП Запущено изменение процесса выпуска нефтепродукта Нарушитель ждет, когда процесс пойдет «не туда» Измененный процесс приводит к нарушению свойств нефтепродукта Уничтожения некачественного нефтепродукта Финансовый ущерб и затраты на PR Сценарий проведенной атаки: случай №2
  • 25. Атака на нефтяную компанию. Кейс 3
  • 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Заражение вредоносным кодом через флешку •  Conficker (KIDO) заражение НПЗ – неопубликовано •  Description – Cyber Assault. Вирус поразил Windows компьютеры и продолжал распространение. Привел к нарушению трафика DCS контроллеров, приведшего к их остановке. •  Attack Vector – Вирус принесен на Flash USB носителе контрактника от вендора (предположительная причина) •  Vulnerability – Уязвимость на Windows хостах, соединенных с DCS контроллерами. •  Damage Caused – НПЗ потерял контроль над производством на целый день. Финансовые потери более UK£ 500,000
  • 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Что было сделано?
  • 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 Эталонная архитектура в ИБ АСУ ТП Общая политика, управление и учет контекста в области IoT-безопасности Конвергированная структура политик (IT/OT) Управление политиками на оконечных устройствах Управление идентификацией Конфигурация и управление обновлениями Инициализация Управление учетными данными Нормативное соответствие AAA Агрегация контекста и совместное использование Облачная безопасность Защита приложений Открытые и партнерские API-интерфейсы Обнаружение уязвимостей и вредоносного ПО Сбор телеметрии и анализ угроз Управление журналами/ SIEM и их сохранение Экспертиза (напр. Что произошло?) Мониторинг и контроль приложений IoE с сохранением состояния Детализованное управление доступом (Гость/ подрядчик, сотрудник и вещи) Удаленный доступ для обслуживания устройств, процессов и систем управления Профилирование IoT-устройств и оценка защищенности Аутентификация и управление ключами доступа 802.1X, MAB, Гостевые (в т.ч. устаревшие), 802.11i, 802.15.4 Транспортное шифрование (802.11i, TLS, 802.1AE…) Исследования, анализ и защита от угроз (в т.ч. в облаке) Применение политик (Сеть) Безопасность на транспортном уровне Сообщество Intel Сетевая безопасность IoT-устройств (FW/IPS/VPN) Безопасность на физическом уровне Обнаружение Мониторинг РеагированиеАнализ Безопасность устройств TPM, HSM, аттестаты безопасности, безопасное хранение
  • 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 Управление и безопасность Уровень 1 Устройство Уровень 0 Центр управления Уровень 3 Устаревшая   RTU   Сети безопасности и управления процессами Мультисервисные сети Ист. данные HMI Отсек питания Безопасность   Процесс   Питание   Процесс Контроллер Контроллер Контроллер Серийные и неразъемные соед. Ethernet-процессы Ethernet-мультисервисы WAN Беспроводн. соед. ТранспортRFID SIEM Сенсор   Движок   Клапан   Драйвер   Насос   Прерыватель   Монитор   питания   Стартер   Выключатель   Системы безопасности Принтер Оборудование SIEM Система SCADA Головная станция Рабочие станции оператора и разработчика Сервер автоматизации процессов системы SIEM SIEM Обработка и распред. ист. данных Серверы приложений Операционные бизнес-системы SIEM SIEM SIEM Надежность и безопасность Система управления производством (MES) SIEM SIEM Распределенная система управления (DCS) SIEM SIEM Контроллер доменов Корп. сеть Уровни 4-5 Ист. данные SIEM Анти- вирус WSUS SIEM SIEM Сервер удаленной разработки SIEM Сервер терминального оборудования SIEM ДМЗ Уровень 3.5 Телекоммуникации на операционном уровне Беспроводн. сети Интернет Контроль Уровень 2 Системы видеонаблюдения Контроль доступа Голос Мобильные сотрудники Беспроводн. сенсор Контроллер Сенсор   Выключатель   Безопасность Архитектура безопасности нефтяной компании
  • 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 Подрядчик Когда Что Где Как 9:00-17:00 ноутбук Ячейка 1 Проводн. Традиционный RBAC и политики HMI Rockwell Automation Stratix 8000 Коммутатор доступа уровня 2 Ввод- вывод Контроллер Диск Ячейка/зона 1 Ввод- вывод HMI Контроллер Volt PTP Коммутатор уровня доступа 2 и Протокол REP Ячейка/зона 2 Роль Авторизация Контр. Ячейка 2: Разр. CIP Разр. http Ячейка 1: Запрет IED IED Станционная шина IED IED Шина процессов Подстанция Операции SCADA инж АКТИВЫ инж Планиро- вание инж Удаленное управление R Подтв. авар. сигн. R Точечная разметка R Точка ручного обновл. R Откр/Закр HMI R R R Выход HMI R R R Мониторинг и контроль операций Возможности для инноваций ISE + промышл. коммутаторы Отслеживание Безопасный доступ для локальных пользователей
  • 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Безопасный доступ для локальных пользователей Сеть доступа Контроллер Мультисервисная шина Производственная сеть Полевая сеть Буровая площадка Трансп. зона Умные города Беспроводная IPS OMS dACL VLAN Тег группы безопасности XРоль ИТ-персонал Поставщик Когда 9:00-17:00 ВТ Что Ноутбук Ноутбук Где Центр обработки данных Трансп. зона Как Wi-Fi Проводн. Wi-Fi Проводн. Аутенти- фикация Камеры IP-телефоны WWW Согласованная политика доступа
  • 32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32 Безопасный удаленный доступ Интернет Корпоративная сеть WAN Корпоративный экстранет Аварийное переключен ие канала Сервер удаленного доступа Удаленный специалист или партнер Корпоративный удаленный инженер Межсетевой экран корпоративного периметра Стек коммутаторов EtherNet/IP SSLVPН IPSEC . Производственная зона Производственные операции Операции и контроль Домен офиса Корпоративная зона ДМЗ Уровни 4 и 5 Уровень 3 Интернет Ячейки/зоны / Уровни 0-2 •  Корпоративная сеть à Сеть OT •  Интернет -> Корпоративная сеть -> Сеть OT •  Сети VPN - без клиента, тонкий клиент, толстый клиент •  Унифицированное управление проводным, беспроводным и удаленным доступом Сеть WAN поставщика услуг Корпоративная сеть Частная сеть WAN компании NMS Каталог SIEM Сервисы безопасности Сеть автоматизации подстанций OMS Шлюз РАСПРЕДЕЛЕННЫЕ СЕРВИСЫ OMS AMI/DA RTU Реле PMU Теле- защита ЗАЩИТА И УПРАВЛЕНИЕ Secure Business Partner Network
  • 33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33 Мониторинг и контроль доступа устройств и механизмов •  Безопасность портов и централизованное управление •  Реестр сетевых индустриальных систем •  Идентификация и профилирование IoT-устройств IoT-сети Соотв. MAC MAC IP ACL 00:00:23:67:89:ab 10.1.1.1 ABB Сайт1 dc:05:75:92:cd:bd 10.1.2.3 Siemens Сайт2 e4:90:69:34:9d:ab 10.1.2.5 Rockwell Сайт3 Контроллер CIP ABB Сайт1 RTU DNP Siemens Сайт1 IED Modbus Rockwell Сайт2 HMI OCP GE Сайт2 CAУправл. Реестр — номер 1 среди 20 критических методов управления безопасностью Сенсор IoT-устройств (в будущем) 802.1x Клиент
  • 34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34 Защита периметра NERC CIP (Защита критически важной инфраструктуры)NIST SP-800-82: Руководство по безопасности систем промышленного управления (ICS) OMS Сервер приложений OMS Архив исторических данных Рабочая станция Корпоративная сеть PLC PLC HMI Сеть управления р ений Антивирусный сервер Сеть WAN поставщика услуг WAN Частная сеть WAN компании Подстанция OMS HMI РАСПРЕДЕЛЕННЫЕ СЕРВИСЫ OMS AMI/DA RTU Реле PMU Теле- защита ЗАЩИТА И УПРАВЛЕНИЕ Центр управления SCADA OMSEMS
  • 35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35 Извлеченные уроки Урок Мероприятия Индустриальный сегмент не всегда изолирован от внешнего мира Контроль и мониторинг соединений Сегментация АСУТПшный персонал не всегда в теме ИБ Повышение осведомленности Регулярные тренинги по ИБ Учет психологии Работа с персоналом Не всегда можно активно блокировать какие-то действия и операции Пассивный мониторинг для раннего предупреждения Использование функционала сетевого оборудования Процесс нельзя останавливать Акцент на мониторинг, а не активное блокирование Стандартные ИТ/ИБ-принципы и правила не срабатывают Обучение по промышленной ИБ Корпоративные решения по ИБ не всегда применимы Использование как традиционных корпоративных, так и специализированных ICS-решений по ИБ Взлом ИБ АСУ ТП - это не всегда что-то сложное Все, что написано выше
  • 36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36 Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
  • 37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37 Благодарю за внимание