УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
1. Решения для ИБ АСУ ТП
Алексей Комаров
Менеджер по развитию решений
Уральский Центр Систем БезопасностиЧелябинск
22 сентября 2016 года
2. • Типичные инциденты ИБ в АСУ ТП и их
причины
• Выбор стратегии защиты
• Решения по обеспечению ИБ АСУ ТП
• Классы решений
• Экспресс-обзор рынка решений по
мониторингу ИБ АСУ ТП
• Комплексный подход к ИБ АСУ ТП
Содержание
3. Наш опыт в ИБ АСУ ТП
• Разработка корпоративных стандартов
• Аудиты действующих АСУ ТП
• Проектирование СОИБ АСУ ТП
• Ввод в эксплуатацию и поддержка систем
обеспечения ИБ АСУ ТП
• Разработка собственного решения -DATAPK
3
4. Число инцидентов по годам
• В 2015 инцидентов ИБ АСУ ТП зафиксировано на 15% больше,
чем в любом из прошлых лет.Рост год к году составил 20%.
•
Из 314 опрошенных компаний-владельцев АСУ ТП в 2015 году
• 34% подтвердили,что сталкивались с инцидентами более двух раз за
последний год,
• из них 44% не смогли определить источник атаки.
4
источники: ICS-CERT, SANS
6. В АСУ ТП происходят инциденты ИБ
6
Дата Страна Инцидент
дек 2014 Германия Федеральное управление по информационной безопасности признало факт
компьютерной атаки на сталелитейный завод.
июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за
хакерской атаки на IT-систему аэропорта Варшавы.
фев 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к
интернету систему управления насосными механизмами, контролирующими работу
топливного хранилища.
март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в
иностранном оборудовании.
июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы
июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера
сент 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
дек 2015 США Иранские хакеры атаковали дамбу в Нью-Йорке
дек 2015 Украина Замминистра энергетики США обвинила Россию в организации блэкаута на Украине
март 2016 Япония Хакеры случайно получили доступ к SCADA-системе водоочистной станции и ради
интереса изменили ее настройки
апр 2016 Германия На компьютерах германской АЭС нашли малварь
Некоторые инциденты ИБ АСУ ТП, источники: СМИ
http://ZLONOV.ru (ИБ АСУ ТП -> инциденты)
7. Типичные инциденты ИБ в
АСУ ТП и их причины
• Халатность
• Направленные атаки
• Хищение
8. Что может случиться на практике?
• Халатность
• Подключение внешних устройств (носители информации,
модемы и пр.)
• Подключение сторонних СВТ (свой ноутбук для игр)
• Направленные атаки
• Шпионаж
• Саботаж
• Хищение
• Сырья,готовой продукции
• Ресурса производственной линии (изготовление неучтенной
продукции)
8
13. Направленная атака на АСУ ТП
13
Реализация
«классической»
угрозы ИБ
Внесение изменений
в работу АСУ ТП
Некорректная
реализация ТП
ИБ
ПБ
Объект атаки:
• АРМ, серверы, АСО
• Общее ПО
Цель атаки:
• Закрепиться в защищаемом
периметре
Объект атаки:
• ПЛК
• Специальное ПО
Цель атаки:
• Получение возможности
манипуляции ТП
Объект атаки:
• ТОУ
Цель атаки:
• Нарушение реализации ТП
• Порча оборудования
15. Выбор стратегии защиты
• Временной вектор атаки
• Выбор стратегии защиты
• Жизненный цикл АСУ ТП
• Факторы и мероприятия ИБ
• Модель защиты АСУ ТП
16. Временной вектор атаки
16
Подготовка Реализация Нанесение ущерба
Проактивная защита Активная защита Реактивная защита
В традиционных
системах все 3
стадии могут
проходить за
считанные
секунды,
в АСУ ТП –
могут длиться
годы
17. Выбор стратегии защиты
17
Проактивная защита Активная защита Реактивная защита
Цель стратегии:
— Не дать произойти
инциденту
Способ достижения:
— Блокировка
нежелательных
изменений состояния
системы
Цель стратегии:
— Выявить атаку в ходе
реализации
Способ достижения:
— Анализ состояний
системы с целью
выявления
подозрительных
изменений
Цель стратегии:
— Минимизировать ущерб
от реализации
инцидента
Способ достижения:
— Возврат системы в
целевое состояние
18. Жизненный цикл АСУ ТП
• Упрощённо жизненный цикл АСУ ТП можно представить в
виде четырёх основных этапов:
• Отдельно нужно рассматривать этап модернизации,когда система
фактически проходит упрощённый вариант подцикла
Проектирование -Создание -Эксплуатация.
18
19. Жизненный цикл СОИБ
• Система обеспечения информационной безопасности
(СОИБ) точно также проходит соответствующие этапы
жизненного цикла:
• в идеальном случае этапы жизненного цикла СОИБ по времени
совпадают с этапами жизненного цикла самой АСУ ТП
19
20. Особенности этапа эксплуатации АСУ ТП
• Самая протяжённая во времени стадия жизненного цикла
• АСУ ТП не является неизменной:
• изменение конфигураций компонентов АСУ ТП,
• обновление программного обеспечения,
• замена компонентов,вышедших из строя и т.п.
• Может поменяться перечень актуальных угроз
• выявления в компонентах АСУ ТП новых уязвимостей
• Могут модифицироваться сами требования обеспечения ИБ
• изменения законодательных или отраслевых требований,
• пересмотр корпоративной политики
20
21. Факторы и мероприятия ИБ
21
Факторы Мероприятия ИБ
Изменение
компонентов АСУ
ТП и/или их
конфигураций
• Инвентаризация компонентов АСУ ТП
• Контроль конфигураций компонентов
АСУ ТП
• Централизованный сбор, корреляция,
систематизация и анализ значимости
событий ИБ в АСУ ТП
Возникновение
новых уязвимостей
• Контроль защищённости компонентов
АСУ ТП
• Обнаружение компьютерных атак
Изменение
требований по
обеспечению ИБ
• Контроль соответствия требованиям по
обеспечению ИБ
22. Проектирование ИБ АСУ ТП
• Какие решения выбрать?
• Оценка влияния на АСУ ТП?
• Одобрение производителей АСУ ТП?
• Бюджет?
22
23. Внедрение/сопровождение ИБ АСУ ТП
• Основания для модернизации/подключения?
• Как проводить приёмо-сдаточные испытания?
• Кто отвечает за эксплуатацию?
• Кто несёт ответственность?
• Какие гарантии?
• Срок гарантии?
23
24. Оптимальный (?) вариант
• Поставка решений по ИБ в составе самих АСУ ТП
• ИБ -встроенный функционал
• Единая гарантия и пр.
• НО!
• Только для новых/
модернизируемых
систем
24
25. Модель защиты АСУ ТП
25
Смежная система
Односторонний (псевдоодносторонний)
канал связи
Непрерывный мониторинг отклонений
Доверенная система
• Контроль целостности ПО и
конфигурации (программной и
аппаратной)
• Контроль информационных потоков
• Отсутствие инструментов внесения
изменений (в том числе, в
конфигурации)
26. Решения по обеспечению
ИБ АСУ ТП
• Классы решений
• Экспресс-обзор отечественных решений по мониторингу
ИБ АСУ ТП
• Возможности комплексного решения по реализации
концепции непрерывного мониторинга состояния ИБ
27. Классы решений в области ИБ АСУ ТП
• Средства мониторинга
• Сканеры защищённости
• Однонаправленные диоды
• Промышленные межсетевые экраны
• Криптографические модули и СКЗИ
• Специализированные СЗИ от НСД*
27* - формально они существуют, но на практике почти не применяются
29. InfoWatch ASAP
• Состав решения:
• InfoWatch ASAP
• Основные функции решения:
• Выявление несанкционированных подключений к каналам
связи АСУ ТП
• Поиск аномалий протекания ТП
• Особенности решения:
• Устанавливается в разрыв каналов связи (в том числе
полевого уровня)
29
30. Positive Technologies ISIM
• Состав решения:
• PT ISIM
• PT MaxPatrol
• Основные функции решения:
• Сбор,анализ,корреляция событий ИБ
• Визуализация атак
• Поиск уязвимостей
• Контроль конфигураций на соответствие требованиям по ИБ
• Особенности решения:
• Работа в пассивном режиме (PT ISIM)
30
31. Kaspersky Industrial CyberSecurity
• Состав решения:
• KICS4Nodes
• KICS4Networks
• Основные функции решения:
• Контроль приложений и съемных устройств на СВТ под управлением ОС Windows
• Анализ сетевого трафика,направленного на ПЛК
• Особенности решения:
• Требует установки агентов на СВТ (KICS4Nodes)
• Работа в пассивном режиме (KICS4Networks)
31
32. DATAPK
• Состав решения:
• ПАК DATAPK
• Основные функции решения:
• Ведение каталога ОЗ,выявление изменений в составе ОЗ
• Анализ сетевых потоков
• Сбор,анализ,корреляция событий ИБ
• Поиск уязвимостей,контроль соответствия требованиям
• Управление конфигурацией ОЗ
• Особенности решения:
• Работа в пассивном режиме
32
33. Функции системы мониторинга (пример)
• Инвентаризация компонентов АСУ ТП
• Контроль конфигураций компонентов АСУ ТП
• Централизованный сбор,корреляция,систематизация и
анализ значимости событий ИБ в АСУ ТП
• Контроль защищённости компонентов АСУ ТП
• Обнаружение компьютерных атак
• Контроль соответствия требованиям по обеспечению ИБ
33
34. Функциональная структура системы мониторинга (пример)
34
Каталог объектов
защиты
Модуль сбора и
анализа событий ИБ
Каталог требований
по ИБ
Модуль управления
конфигурацией ОЗ
Модуль оценки
соответствия
и поиска уязвимостей
Каталог уязвимостей
Журнал
событий ИБ
Модуль
обеспечения ИБ
35. Комплексный подход
к ИБ АСУ ТП
• Построение комплексного решения
• Безопасность –процесс,а не продукт
36. Построение комплексного решения
• Технические меры защиты информации
реализуются посредством применения средств
защиты информации,имеющих необходимые
функции безопасности.В качестве средств
защиты информации в первую очередь
подлежат рассмотрению механизмы защиты
(параметры настройки) штатного программного
обеспечения автоматизированной системы
управления при их наличии
36
Приказ ФСТЭК России от 14.03.2014 №31
КСПД
37. Построение комплексного решения
• Технические меры защиты информации
реализуются посредством применения средств
защиты информации,имеющих необходимые
функции безопасности.В качестве средств
защиты информации в первую очередь
подлежат рассмотрению механизмы защиты
(параметры настройки) штатного программного
обеспечения автоматизированной системы
управления при их наличии
37
Приказ ФСТЭК России от 14.03.2014 №31
КСПД
39. Безопасность –процесс,а не продукт
39
Управление ИБ
Подготовка,
планирование
Проектирование
Ввод в действие,
модернизация
Постоянная
эксплуатация
Аудит
Консалтинг
Моделирование,
подбор решений Разработка
архитектуры
Разработка проектной
документации
Обучение
Разработка
пакета ОРД
Инсталляция
Оценка
соответствия
Сопровождение
Техническое
обслуживание
40. Спасибо за внимание!
Алексей Комаров
http://ZLONOV.ru
@zlonov
Компания УЦСБ
Тел.: +7 (343) 379-98-34
E-mail: info@ussc.ru
www.USSC.ru