Документ представляет собой обзор технических решений в области кибербезопасности для автоматизированных систем управления технологическими процессами (АСУ ТП). В нем изложены различные типы решений, таких как межсетевые экраны, защита конечных узлов и системы обнаружения угроз, а также примеры поставщиков и осуществляемых функций. Также описаны важные аспекты управления доступом, контроля утечек информации и анализа уязвимостей.

1. Антон Шипулин
Руководитель проектов по информационной безопасности
Москва, 2 декабря 2015
ОБЗОР
ТЕХНИЧЕСКИХ РЕШЕНИЙ
КИБЕРБЕЗОПАСНОСТИ АСУ ТП
CISSP, CEH, CSSA, Project+

2. /302
АКТУАЛЬНОСТЬ
Раньше Сегодня

3. /303
АКТУАЛЬНОСТЬ
Источник: www.tofinosecurity.com

4. /304
КЛАССИФИКАЦИЯ РЕШЕНИЙ
Технические решения
Предотвращение
угроз
Традиционные
Специализированные
Обнаружение
угроз
Традиционные
Специализированные

5. /305
1. Межсетевые экраны / Firewall
2. Защиты конечных узлов / Endpoint Security
3. Промышленные межсетевые экраны / Industrial FW
4. Однонаправленные шлюзы / Unidirectional Gateways
5. Контроль доступа администраторов / подрядчиков / PIM
6. Управление доступом к сети / NAC
7. Криптографическая защита каналов связи
8. Многофакторная аутентификации
ПРЕДОТВРАЩЕНИЕ УГРОЗ

6. /306
1. Обнаружение атак / IDS
2. Обнаружение сетевых аномалий / NBAD / DPI
3. Мониторинг беспроводных сетей / WIPS
4. Мониторинг событий безопасности / SIEM
5. Анализ уязвимостей (активный / пассивный / конфигураций)
6. Анализ правил сетевого доступа
7. Контроль целостности данных
8. Контроль утечек информации / DLP
9. Сервисы разведки кибер угроз
ОБНАРУЖЕНИЕ УГРОЗ

7. /307
ПРЕДОТВРАЩЕНИЕ УГРОЗ

8. /308
МЕЖСЕТЕВЫЕ ЭКРАНЫ / FIREWALL
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
• Сегментация / ограничение
широковещательных доменов
• Контроль соединений между
сегментами
Примеры:
• Cisco, Check Point, Palo Alto, …
• Российские: ИнфоТеКС ViPNet, …

9. /309
ЗАЩИТЫ КОНЕЧНЫХ УЗЛОВ
• Блокирование ВПО
• Контроль периферийных устройств
(носители, адаптеры)
• Контроль запуска приложений
Особенности:
• Сертификация вендоров АСУ ТП
• Потребление ресурсов
Примеры:
• Symantec, McAfee, Trend Micro
• Российские: Kaspersky
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер
(PLC)
Historian

10. /3010
ПРОМЫШЛЕННЫЕ МЭ
Промышленный
Межсетевой Экран
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
• Устойчивость к агрессивным средам
(температура, влажность, ЭМИ)
• Крепление (DIN-рейка)
• Фильтрация промышленных протоколов
Примеры:
• Belden, Cisco, Check Point, Phoenix Contact
• Российские: Symanitron

11. /3011
ОДНОНАПРАВЛЕННЫЕ ШЛЮЗЫ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Однонаправленный
шлюз
• Невозможность передачи
данных в обратном
направлении
Особенности:
• Исключение других
сетевых каналов
• Появление не сетевых
каналов (ноутбуки,
носители, и т.д.)
• Доработка под нужные
протоколы
Примеры:
• Waterfall Security Solution,
Fox DataDiode
• Российские: InfoDiode, …

12. /3012
КОНТРОЛЬ ДОСТУПА АДМИНИСТРАТОРОВ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Север контроля доступа
привелегированных пользователей
Протокол
управления
Протокол
управления
Служба
безопасности
Уведомления
Контроль
• Разграничение доступа и мониторинг
активности административного персонала
систем (вендоры, подрядчики).
• Едина точка доступа к контролируемым
системам, хранение учетных данных
Примеры:
• CyberArk, Wallix, …
• Российские: SafeInspect

13. /3013
УПРАВЛЕНИЕ ДОСТУПОМ К СЕТИ
Ethernet
RS-485
No AV updates
No OS updates
Attacker
NAC сервер
Deny
Deny
• Предотвращение
подключения к сети
посторонних узлов, сетевых
устройств на канальном
уровне.
• Предотвращение
подключения АРМ, не
соответствующих политике
безопасности (обновления,
конфигурация и пр.)
Особенности и сложности:
• NAC не сильно
распространен даже в
офисном сегменте из за
сложности внедрения и
использования
Примеры:
• Cisco, ForeScout, Portnox, …

14. /3014
КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА КАНАЛОВ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
WAN/Internet
Vendor
• Шифрование данных на сетевом
уровне при передачи в
недоваренной среде (вне КЗ)
• Защита от перехвата и
модификации трафика
Примеры:
• Российские: VipNET, С-Терра, …

15. /3015
МНОГОФАКТОРНАЯ АУТЕНТИФИКАЦИИ
• Защита от утечки паролей
• Использование нескольких факторов
• Интеграция с системами безопасности
• Технически применимы не везде
Примеры:
• RSA, VASCO, …
• Российские: Аладдин, Рутокен, Индид

16. /3017
ОБНАРУЖЕНИЕ УГРОЗ

17. /3018
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Система
обнаружения
атак
Служба
безопасности
Копия
трафика
Уведомления об
атаках
Система
предотвращения
атак
Уведомления об
атаках
Атака
ОБНАРУЖЕНИЕ АТАК / IDS
• Пассивный мониторинг трафика
• Обнаружение атак на компоненты
промышленных систем на основе
сигнатур, оповещение администратора.
Примеры:
• Cisco, McAfee, Check Point, HP
• Российские: ViPNet IDS(?), Континент (?)

18. /3019
ОБНАРУЖЕНИЕ СЕТЕВЫХ АНОМАЛИЙ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Служба
безопасности
Пассивный сбор
трафика
Уведомления об
аномалиях
Атакующи
й
Сенсор
Сервер
анализа
Атака
• Пассивный мониторинг
• Формирование профиля нормального
поведения сетевой активности
• Обнаружение посторонних хостов, портов
• Обнаружение атак в т.ч. на 0-day уязвимости
• Обнаружение аномальных команд
управления и параметров в промышленных
протоколах
Примеры:
• Elbit, SecurityMatters, CyberLens, Lancope/Cisco
• Российские: Kaspersky, InfoWatch, Positive Tech

19. /3020
МОНИТОРИНГ БЕСПРОВОДНЫХ СЕТЕЙ
• Мониторинг анализ радиоэфира сенсорами
• Обнаружение атак на существующие WiFi сети
• Обнаружение несанкционированных беспроводных сетей
(точки доступа, персональные модемы)
Примеры:
• AirTight, Fluke, Cisco, Aruba, …

20. /3021
МОНИТОРИНГ СОБЫТИЙ ИБ
• Сбор и анализ событий ИБ с АРМ, прикладных систем, систем безопасности, сетевого
оборудованию, контроллеров. Использование штатных протоколов/интерфейсов.
Установка агентов где требуется и где допустимо.
Примеры:
• HP ArcSight, IBM Qradar, McAfee/Nitro
• Российские: Positive Technologies, …

21. /3022
АНАЛИЗ УЯЗВИМОСТЕЙ
Метод Описание Примеры
Активный
анализ
• Традиционное сканирование хостов и портов,
• Идентификация и верификация уязвимостей,
• Онлайн брутфорс учетных записей,
• Попытки проникновения в сеть из-вне (War-Dialing,
Wardriving)
Ограничения:
Стенды, Технологические окна, Высокоуровневые системы
(не PLC)
• Positive Technologies
• SCADA-аудитор
• …
Пассивный
анализ
• Сбор и анализ сетевого трафика (зеркалирование) на
предмет обнаружения узлов сети, портов, возможных
уязвимостей и учетных записей
• Анализ радиоэфира (WiFi), на предмет обнаружения
незащищенных сетей и несанкционированных сетевых
устройств (точки доступа, Wireless модемы)
Особенности:
Требует большее времени для сбора данных
• Positive Technologies (!)
• Tenable PVS
Прямой
доступ
• Сбор и анализ конфигураций и состояний оборудования
• Сбор «дампов» паролей с последующим анализом
офлайн
• Positive Technologies

22. /3023
АНАЛИЗ ПРАВИЛ СЕТЕВОГО ДОСТУПА
• Наличия межсетевого экрана недостаточно
• Необходимо чтобы он был настроен безопасно!
• Регулярный контроль актуальности правил и
минимальности доступа
• Моделирование возможных сценариев атак
• Составление актуальной карты сети
Примеры:
• Algosec, SkyBox, Tufin, …

23. /3024
• Сбор текущих прошивок, логики процессов с компонент
промышленных систем (контроллеры, сетевое
оборудование, серверы) через стандартные интерфейсы/API
• Сравнение с эталонными версиями и оповещение в случае
отклонения
Примеры:
• Cisco ICS Defender (?), Tripwire File Integrity Monitoring (?)
• Российские: Kaspersky
КОНТРОЛЬ ЦЕЛОСТНОСТИ ДАННЫХ

24. • Структура управления
• Оргструктура объекта
• Структура и состав КТС
• Порядок технологических операций
• Порядок работы защиты и блокировок
• Команды управления, уставки
• …
КОНТРОЛЬ УТЕЧЕК ИНФОРМАЦИИ / DLP
2014. Атака на компьютерную
систему энергетической компании
Korea Hydro and Nuclear Power Co,
оперирующей 23 ядерными
реакторами в Южной Корее.
Украдены подробные схемы
атомных реакторов с описаниями
алгоритмов управления АЭС.

25. /3027
СЕРВИСЫ РАЗВЕДКИ КИБЕР УГРОЗ
• Передача данных о своих системах сервису
• Сервис непрерывно ищет данные об угрозах вашим системам в публичных сетях
• Оповещает заранее о возможных угрозах вашим системам
Примеры:
• Critical Intelligence
• Российские: Bot-Trek Intelligence

26. Открытая группа Facebook
«Кибербезопасность АСУ ТП»
facebook.com/groups/RusCyberSec/
Блог «Безопасность АСУ ТП»
shipulin.blogspot.ru
ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
/3029

27. СПАСИБО
ЗА ВНИМАНИЕ!
Антон Шипулин
Руководитель проектов
по информационной
безопасности
111033, Москва, ул. Волочаевская, д.5, к.1
Т: (495) 974 2274 # 6412 | Ф: (495) 974 2277
E-mail: AnShipulin@croc.ru
croc.ru
CISSP, CEH, CSSA, Project+