Submit Search
Upload
Концепция активной обороны
•
2 likes
•
2,448 views
Aleksey Lukatskiy
Follow
Концепция активной обороны в промышленных сетях
Read less
Read more
Technology
Report
Share
Report
Share
1 of 31
Download now
Download to read offline
Recommended
SOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
Модель угроз биометрии
Модель угроз биометрии
Aleksey Lukatskiy
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
Denis Batrankov, CISSP
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
Aleksey Lukatskiy
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
Aleksey Lukatskiy
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Recommended
SOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
Модель угроз биометрии
Модель угроз биометрии
Aleksey Lukatskiy
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
Denis Batrankov, CISSP
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
Aleksey Lukatskiy
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
Aleksey Lukatskiy
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
пр Лучшие практики SOC
пр Лучшие практики SOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Aleksey Lukatskiy
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Security as a Service = JSOC
Security as a Service = JSOC
Solar Security
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
Aleksey Lukatskiy
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
Cisco Russia
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Cisco Russia
More Related Content
What's hot
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Aleksey Lukatskiy
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
пр Лучшие практики SOC
пр Лучшие практики SOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Aleksey Lukatskiy
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Security as a Service = JSOC
Security as a Service = JSOC
Solar Security
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
Компания УЦСБ
5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
Aleksey Lukatskiy
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
Aleksey Lukatskiy
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
What's hot
(20)
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
пр Лучшие практики SOC
пр Лучшие практики SOC
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Security as a Service = JSOC
Security as a Service = JSOC
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
5.про soc от jet
5.про soc от jet
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Построение центра мониторинга и управления безопасностью Cisco
Построение центра мониторинга и управления безопасностью Cisco
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
Similar to Концепция активной обороны
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
Cisco Russia
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Cisco Russia
Использование технологий компании Cisco
Использование технологий компании Cisco
Cisco Russia
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco Russia
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итоги
Cisco Russia
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Cisco Russia
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
RISClubSPb
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
Компания УЦСБ
Upd pci compliance
Upd pci compliance
BAKOTECH
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!
Aleksey Lukatskiy
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасности
Cisco Russia
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
Cisco Russia
Cisco asa with fire power services
Cisco asa with fire power services
journalrubezh
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Cisco Russia
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
Cisco Russia
Взгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроами
Cisco Russia
Similar to Концепция активной обороны
(20)
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Решения Cisco и их соответствие требованиям 31-го приказа ФСТЭК по защите АСУ ТП
Использование технологий компании Cisco
Использование технологий компании Cisco
Cisco AMP: платформа для борьбы с вредоносным кодом
Cisco AMP: платформа для борьбы с вредоносным кодом
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итоги
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
Upd pci compliance
Upd pci compliance
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасности
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
Cisco asa with fire power services
Cisco asa with fire power services
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Решения Cisco для обеспечения соответствия требованиям регуляторов по безопас...
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
Взгляд Cisco на борьбу с целенаправленными угроами
Взгляд Cisco на борьбу с целенаправленными угроами
More from Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Aleksey Lukatskiy
More from Aleksey Lukatskiy
(20)
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
Концепция активной обороны
1.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Концепция активной обороны Алексей Лукацкий Бизнес-консультант по безопасности
2.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 2 Исходные предпосылки ИБ ОТ Потребитель Решений по ИБ для АСУ ТП мало и они только появляются на рынке ОТ-вендоры пока не спешат внедрять ИБ в свои продукты Потребители не думают о серьезных инвестициях в ИБ НЕТ - Законодательных требований - Инцидентов - Бизнеса
3.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 3
4.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 4 От пассивной обороны к активной Встроенная защита Защита от угроз, не требующая участия человека Анализ со стороны человека в поисках следов нарушителей Сбор данных, обогащение информации и представление разведданных Юридические меры против нарушителей
5.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 5 Первый уровень (сценарий) • Сегментирование • Управление цепочками поставок оборудования и запчастей • Устранение уязвимостей • Поддержка со стороны вендора • Управление обновлениями • Встроенные механизмы защиты в ОС, СУБД, сетевое оборудование Архитектура
6.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 6 Архитектура ИБ производства WWW Прило жения DNS FTP Интернет Гигабитный канал для определения аварийного переключения Межсетевой экран (активный) Межсетевой экран (режим ожидания) Серверы производствен ных приложений Коммутатор уровня доступа Сетевые сервисы Коммутаторы уровня ядра Коммутатор уровня агрегации Управление исправлениями Сервисы для терминального оборудования Зеркало приложений Антивирусный сервер Ячейка/зона 1 (Резервная топология типа «Звезда») Диск Контроллер HMI Распределенный ввод-вывод Контроллер ДискДиск HMI Распределенный ввод-вывод HMI Ячейка/зона 2 (Топология типа «Кольцо») Ячейка/зона 3 (Линейная топология) Коммутатор уровня доступа 2 Контроллер Ячейка/зона Уровни 0-2 Производственная зона Уровень 3 Демилитаризованная зона Уровень 3.5 Корпоративная сеть Уровни 4-5 Усиленный межсетевой экран Усиленная система предотвращения вторжений (IPS) Удаленный мониторинг и наблюдение Управление ПО, конфигурацией и активами VPN и сервисы удаленного доступа Межсетевой экран нового поколения Система предотвращения вторжений (IPS) Защита от угроз в облаке Применение политик для всей сети Контроль доступа (на уровне приложений) Межсетевой экран с сохранением состояния Защита и определение вторжений (IPS/IDS) Системы управления физическим доступом Сервисыидентификации ISE
7.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 7 Сеть агрегации FAN ЗОНА 2 Мультисервисная шина ЗОНА 3 Сеть NERC CIP ЗОНА 1 Сетьподстанций Станционная шина IEC 61850 Шина процессов IEC 61850 Архитектура ИБ цифровой подстанции Физическая безопасность Взаимодействие с сотрудниками Серийные, C37.94, E&M Периметр электронной безопасности (ESP) PT ПрерывательCT CTPT Периметр физической безопасности (PSP) Прерыватель IED MU Распределенный контроллер HMI Устаревшая RTU PT CT Аппаратный I/O Сенсор Устаревшее реле РТЗ Прерыватель Частный WiMax или LTE для полевой сети Точка электронного доступа Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP Центр управления доступом ДМЗ Центр обработки данных HMI SCADA FEP EMS CPAM VSOM Аналитика ист. данных SIEM PACS ACS CA LDAP HMI Контроллер соединения RTU Защитное реле Процессор коммуникаций PMU PDC Реле РТЗ
8.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 8 Управление и безопасность Уровень 1 Устройство Уровень 0 Центр управления Уровень 3 Устаревшая RTU Сети безопасности и управления процессами Мультисервисные сети Ист. данные HMI Отсек питания Безопасность Процесс Питание Процесс Контроллер Контроллер Контроллер Серийные и неразъемные соед. Ethernet-процессы Ethernet-мультисервисы WAN Беспроводн. соед. ТранспортRFID SIEM Сенсор Движок Клапан Драйвер Насос Прерыватель Монитор питания Стартер Выключатель Системы безопасности Принтер Оборудование SIEM Система SCADA Головная станция Рабочие станции оператора и разработчика Сервер автоматизации процессов системы SIEM SIEM Обработка и распред. ист. данных Серверы приложений Операционные бизнес-системы SIEM SIEM SIEM Надежность и безопасность Система управления производством (MES) SIEM SIEM Распределенная система управления (DCS) SIEM SIEM Контроллер доменов Корп. сеть Уровни 4-5 Ист. данные SIEM Анти- вирус WSUS SIEM SIEM Сервер удаленной разработки SIEM Сервер терминального оборудования SIEM ДМЗ Уровень 3.5 Телекоммуникации на операционном уровне Беспроводн. сети Интернет Контроль Уровень 2 Системы видеонаблюдения Контроль доступа Голос Мобильные сотрудники Беспроводн. сенсор Контроллер Сенсор Выключатель Безопасность Архитектура безопасности нефтяной компании
9.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 9 WannaCry – это всего лишь первый уровень
10.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 10 Второй уровень (сценарий) • Межсетевые экраны • Системы обнаружения атак • Антивирусы • Системы контроля доступа (NAC) • Системы защиты оконечных устройств (HMI, сервера АСУ ТП и др.) Пассивная оборона
11.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 11 Уровень 5 Уровень 4 Уровень 3 Уровень 2 Уровень 1 Level 0 DMZ Терминальные сервисы Управление патчами Антивирусный сервер Зеркало приложений Управление Web Сервер приложений Корпоративная сеть Сеть логистики и бизнес-планированияE-Mail, Intranet и т.д. Клиент Пакетный контроль Дискретный контроль Drive Control Непрерывный контроль Контроль защиты Сенсоры Моторы Исп.устройства Роботы Сервер приложений Factory Directory ПК инженера Контроллер домена Клиент Operator Interface Engineering Workstation Operator Interface Web E-Mail CIP Area Supervisory Control Basic Control Process К архитектуре добавляются средства защиты Активная защита IPS, МСЭ, контроль приложений, безопасность контента, защита от вредоносов и т.д. Активная защита IPS, МСЭ, защита от вредоносного ПО и т.д. Гибридная активная/пассивная защита IDS, зонирование, контроль приложений, защита от вредоносного ПО и т.д.
12.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 12 Концепция NIST CSF для пассивной обороны Identify (идентификация) Protect (защита) Detect (обнаружение) Respond (реагирование) Recover (восстановление) Сети Устройства Приложения Пользователи Команды и телеметрия
13.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 13 От NIST CSF к 31-му приказу ФСТЭК Функция CSF Категория защитных мер Идентификация • Управление активами • Бизнес-окружение • Governance • Оценка рисков • Стратегия управления рисками • Управление цепочками поставок Защита / Предотвращение • Контроль и управление доступом и идентификационными данными • Повышение осведомленности & Обучение • Защита данных • Процессы & процедуры защиты данных • Технологии поддержки ИБ • Защитные технологии Обнаружение • Аномалии & события безопасности • Непрерывный мониторинг безопасности • Процессы обнаружения Реагирование • Планирование реагирования • Коммуникации • Анализ • Нейтрализация • Улучшения Восстановление • Планирование восстановления • Улучшения • Коммуникации
14.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 14 Третий уровень (сценарий) • Системы мониторинга аномальной активности • Системы управления логами • Системы управления инцидентами • Анализ вредоносного кода • Проведение пентестов / аудита (!) Активная оборона Активное вовлечение человека
15.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 15 Цикл активной обороны • Цикл активной обороны – концепция, созданная Робом Ли, и описывающая непрерывный процесс, состоящий из 4 стадий, которые защитники должны реализовать для активного мониторинга, реагирования и изучения нарушителя • Предположения об угрозе • Идентификация активов и мониторинг сети • Реагирование на инциденты • Манипуляция угрозами и окружением
16.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 16 Цикл NSM • Цикл NSM (Network Security Monitoring) – концепция, предложенная в 1980-м году Тоддом Хеберлейном при создании системы обнаружения атак NSM • Может служить частью цикла активной обороны и состоит из 3-х этапов • Сбор данных • Обнаружение • Анализ Старт Сбор Обнаруже- ние Анализ Использование знаний о сети для ускорения сбора данных Использование знаний об угрозах для ускорения обнаружения Истина Ложь
17.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 17 Как идентифицировать активы АСУ ТП? Физическая инспекция Анализ трафика Анализ файлов конфигурации Активное сканирование Время Риск • Физическая инспекция – долго и сложно в территориально распределенном окружении • Анализ трафика – анализ захваченных пакетов безопасен для АСУ ТП • Анализ файлов конфигурации – хороший подход для создания карты активов • Активное сканирование – быстро, но рекомендуется с осторожностью
18.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 18 Средства сбора и анализа сетевой телеметрии • Elastic Search • Log Stash • Kibana • Splunk • Security Onion • Flowplotter • Wireshark - tshark • Network Miner • Snort • Suricata • BRO • Flowbat
19.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 19 Коммерческие или бесплатные? • Идентификация активов возможно с помощью как платных, так и бесплатных (open source) решений • Платные решения – быстро и удобно, средняя квалификация • Бесплатные решения – не всегда быстро, неудобно и требует высокой квалификации
20.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 20 Четвертый уровень (сценарий) • Threat Intelligence • Threat Hunting • Новый инструментарий (EDR, UEBA, NFT/HFT, SIEM и др.) • Взаимодействие с внешним миром (ICS-CERT, ГосСОПКА, ISAC и др.) Разведка
21.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 21 Алмазная модель • Модель, описанная в ранее секретной методике Министерства Обороны США, и позволяющая описать и провести анализ 4- х основных элементов современной угрозы • Нарушитель • Жертва • Возможности нарушителя • Инфраструктура нарушителя
22.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 22 Что такое убийственная цепочка?
23.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 23 Из чего состоит убийственная цепочка? Разведка Сбор e-mail Социальные сети Пассивный поиск Определение IP Сканирование портов Вооружение Создание вредоносного кода Система доставки Приманка Доставка Фишинг Заражение сайта Операторы связи Проникновение Активация Исполнение кода Определение плацдарма Проникновение на 3rd ресурсы Инсталляция Троян или backdoor Повышение привилегий Руткит Обеспечение незаметности Управление Канал управления Расширение плацдарма Внутреннее сканирование Поддержка незаметности Реализация Расширение заражения Утечка данных Перехват управления Вывод из строя Уничтожение следов Поддержка незаметности Зачистка логов
24.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 24 Разведка Оснащение Доставка Заражение Инсталляция Получение управления Выполнение действий Файл – имя Файл URI – URL HTTP - GET HTTP – User Agent URI – имя домена Адрес – e-mail Адрес – IPv4 Файл – путь Файл URI – URL Поведение Файл – имя Файл – путь Файл URI – URL HTTP – POST Заголовок e-mail – Тема Заголовок e-mail – X-Mailer URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Ключ реестра Win Файл – имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – CIDR Адрес – IPv4 Код – Бинарный код Процессы Win Ключ реестра Win Файл – имя Файл – путь Файл URI – URL HTTP – GET HTTP – User Agent URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Ключ реестра Win Файл URI – URL HTTP – GET HTTP – POST HTTP – User Agent URI – имя домена Хеш – MD5 Адрес – e-mail Адрес – IPv4 Поведение Процессы Win Сервисы Win Файл – Путь Файл – Имя Файл URI – URL URI – имя домена Хеш – MD5 Хеш – SHA1 Адрес – IPv4 Kill Chain и индикаторы компрометации (IoC)
25.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 25 Классическая дилемма безопасника Построить КупитьПартнеры Коммерческие инструменты и источники данных об угрозах Open Source решения/источники и воспитание собственных аналитиков Начинать с чужой экспертизы (консультанты, интеграторы, производители)
26.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 26 CrashOverride / Stuxnet – это четвертый уровень
27.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 27 Пятый уровень (сценарий) • Атрибуция нападающего • Юридические меры воздействия • Перехват управления C&C • Разделегирование домена • Контратака Нападение
28.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 28 В основе всего лежит архитектура! Ценность Цена Архитектура Пассивная оборона Активная оборона Разведка Нападение
29.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 29 Поэтапное наращивание защитных возможностей • Модель ПурдьюАрхитектура • Эшелонированная оборона • Серия NIST SP800 и NIST SCF • 31-й приказ ФСТЭК Пассивная оборона • Цикл активной кибер-обороны • Network Security MonitoringАктивная оборона • Kill Chain • Diamond ModelРазведка • Юридические методы против нарушителей • Перехват C&CНападение
30.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 30 Все зависит от модели угроз / нарушителя Новички Киберкриминал Корпоративный шпионаж/ кибертерроризм Спецслужбы ИБ нет Архитектура Пассивная оборона Активная оборона Разведка
31.
© Cisco и(или)
ее аффилированные лица, 2014 г. Все права защищены. 31 Благодарю за внимание
Download now