Решения Fortinet для обеспечения кибербезопасности промышленных систем автоматизации и управления

© Copyright Fortinet Inc. All rights reserved.
Индустриальные решения Fortinet
Алексей Андрияшин
russia@fortinet.com
+79859996477

2
Система автоматического регулирования
- автоматические линии станков
- системы (дистанционного) телеуправления
- регуляторы скорости вращения двигателя
- автопилоты, поддерживающий определенный курс
- следящие системы (атомные станции, ГЭС)
- системы самонаведения
- атомные реакторы, доменные печи, системы
гидроснабжения и электроснабжения

3
Терминология принятая в АСУТП
Industrial Сontrol System (ICS) – системы управления, включая
системы диспетчерского управления и сбора данных (SCADA),
распределённые системы управления (DCS) и другие виды
систем управления.
SCADA – системы диспетчерского управления и сбора данных
PLC – контроллеры – устройства, контролирующие
промышленные процессы и оборудование
DCS – распределенные системы управления промышленными
объектами
HMI – человеко-машинный интерфейс для наблюдения,
управления и изменения заданных значений, алгоритмов,
регулирования и установки параметров контроллера
RTU – устройство связи с объектом

4
Пример построения АСУТП
• повышение уровня надежности и безопасности
работы оборудования;
• снижение вероятности возникновения аварийных
ситуаций;
• осуществление оперативного мониторинга и
диагностики, прогнозирования вероятных аварийных
ситуаций и определения остаточного ресурса
оборудования;
• создание единого человеко-машинного интерфейса
• повышение уровня экономической эффективности
эксплуатации;
• сокращение времени простоя оборудования при
аварийных отключениях за счет повышения
информативности о месте и характере дефекта.
Цели применения системы

5
SCADA – общие принципы

6
Проблемы безопасности в АСУТП
▪ Большое количество «собственных» разработок при создании АСУ ТП
▪ Закрытость систем:
» расчет на доверенную среду исполнения
» специализированные протоколы
» отсутствие ревизий кода
» при разработке не учитываются лучшие практики разработки безопасного кода
▪ Открытые стандарты
» Новое поколение решений использует открытые стандарты при устаревших (или полном отсутствии) требованиях к ИБ
▪ Производительность
» работа в реальном времени исключает критична к задержкам трафика и влияния на технологический процесс
▪ Фиксированные конфигурации
» отсутствие возможности своевременного обновления ПО
» сложности при использовании стороннего ПО для повышения безопасности
» Использование паролей «по умолчанию»
Консервативный подход к проблемам безопасности
Технологическая информация не является основным объектом защиты

7
Нормативная база защиты критически важных объектов Руководящие документы
ФСТЭК по защите ключевых систем информационной инфраструктуры
Ключевая система информационной инфраструктуры (КСИИ)
Это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет
управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом
(процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий
на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции
управления со значительными негативными последствиями
Следующие руководящие документы ФСТЭК России по защите КСИИ распространяются под грифом ДСП только среди лицензиатов:
1."Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007)
2."Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007)
3."Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007)
4."Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 19.11.2007)
5."Положение о Реестре ключевых систем информационной инфраструктуры" (утв. приказом ФСТЭК России от 04.03.2009)
Для следующего документа установлен гриф "секретно":
"Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу
защищаемых от деструктивных информационных воздействий" (утв. Секретарем Совета Безопасности от 08.11.2005)

8
Источники угроз в АСУТП
▪ Внешние источники
» Системы SCADA часто взаимосвязаны с другими системами SCADA и RTUs через
публичные сети
» Атаки часто направлены именно на SCADA
▪ Внутренние источники
» Вирусы попадают в SCADA через портативные устройства
» Промышленный шпионаж
» Общий доступ к файлам, P2P и социальные сети
» На терминалах HMI отсутствуют AV-решения
» Ноутбуки инженеров в сети
▪ Беспроводные сети
» Wi-Fi или 3G устройства в сети
» “Мошеннические” точки доступа использующие корпоративный SSID
» Отсутствие систем защиты RTU

9
Анализ рисков – идеальная картина
Риск = Угроза x Уязвимость x Влияние
Medium = High x Low x High

10
Риск = Угроза x Уязвимость x Влияние
Very High = High x High x High
Анализ рисков – реальная картина

11
Основные направления защиты АСУТП
▪ Контроль входящего и исходящего трафика
▪ Контроль приложений
▪ Контроль трафика внутри сети
▪ Контроль доступа к SCADA
▪ Выявление аномальной активности
▪ Реализация методов проактивной защиты
▪ Постоянный мониторинг сети

12
Промышленное оборудование
Надежность в жестких условиях эксплуатации
Удовлетворяет промышленным требованиям для работы в тяжелых условиях
EMI Thermal
ЭМИ
Незащищенные
устройства может
потерпеть неудачу или
быть уничтожены, когда
подвергаются
воздействию высоких
уровней
электромагнитных помех
Температура
Широкий диапазон
температур (от -20 до
+75 C) рабочей
окружающей среды
Вибрация
✓ Устройства должны выжить
при падении из шкафа для
монтажа в стойку
✓ 50G анти-шок и 5-500 Мгц
требование по
виброзащищенности
✓ Защитные компоненты
используются для
амортизации устройства

13
Решения Fortinet для защиты индустриальных сетей
FortiGateRugged
FortiSwitch Rugged
FortiAP Outdoor
Беспроводные точки доступа
WAN
• Канал 1
• Канал 2
• Коммутация
• Сегментирование
• Питание  
(через Ethernet)
Удаленные узлы
Централизованное управление
FortiManager
FortiAnalyzer
Лаборатория
FortiGuard Спутник
Камеры
• UTM
• VPN
• IC-specific
protections
Глобальная
защита от угроз

14
Контроль доступа
--------------------------
✓ Unified secured
access: Wired,
Wireless & Remote
VPN
✓ Firewall, User & device
based Policies
✓ End point Control
✓ 2-Factor
Authentication
Предотвращение
---------------------------
✓ IPS
✓ Anti-Malware
✓ Application Control
Обнаружение
---------------------------
✓ Vulnerability
scanning
✓ DB audit & Control
Monitoring
✓ DLP
Соответствие
---------------------------
✓ Log & report
✓ Administration Audit
Trail
✓ Event & Incident
Management
FortiGate FortiAnalyzer FortiManager FortiDBFortiAP FortiClient
FortiToken

15
Определение и контроль индустриальных приложений

16
Предотвращение угроз

17
Поддержка на уровне IPS/ Application Control
Поддерживаемые
протоколы
--------------------------------
✓ BACnet
✓ DNP3
✓ Modbus
✓ EtherNet/IP
✓ IEC 60870-6 (TASE 2) /
ICCP
✓ EtherCAT
✓ IEC 60870-5-104
✓ IEC 61850
✓ OPC
✓ Elcom
Поддерживаемые приложения и производители
-----------------------------------------------------
✓ 7T Technologies/ 
Schneider Electric
✓ ABB
✓ ADvantech
✓ Avahi
✓ Broadwin
✓ CoDeSys
✓ Cogent
✓ Control Automation
✓ Datac
✓ GE
✓ Iconics
✓ InduSoft
✓ Intellicom
✓ Measuresoft
✓ Microsys
✓ MOXA
✓ PcVue
✓ Progea
✓ Promotic
✓ RealFlex
✓ Rockwell Automation
✓ RSLogix
✓ Siemens
✓ Sunway
✓ TeeChart
✓ TwinCAT
✓ WellinTech
✓ xArrow

18
FortiGate Rugged 60D/90D/100C
• Закрытый корпус, без вентиляторов
• Работа при экстремальных температурах (-40 до 75 C)
• Стандарты IEC 61850-3, IEEE 1613, Division1 Class 2 Compliant
• Integrates wireless, поддержка 3G/4G – модемов
FortiSwitch Rugged 112D-PoE
• Выполнено по стандарту IP30, без вентиляторов и движущихся
частей
• Работа в экстремальных температурах (-40 до 60 C)
• Управление через FortiGate Switch Controller
FortiAP 222C
• Поддержка стандартов IEEE 802.11a/b/g/n/ac и работа на частотах
2.4 GHz и 5 GHz
• Работа в экстремальных температурах (-40 до 60 C)
• FortiGate выступает в роли контроллера
Защищенные устройства Fortinet

19
Дополнительные требования к индустриальному оборудованию
Источники питания
▪ Выполнение различных требований к источникам питания
» Блоки питания AC, DC
▪ Опции по резервированию блоков питания
Монтаж
▪ Монтаж на стандартные DIN направляющие внутри для стоек с индустриальным
оборудованием.
▪ Монтаж в серверную стойку
▪ Монтаж на стену

20
FortiGate Rugged-60D
Hardware Performance
Firewall Throughput (1518/512/64) 1.5 / 1.5 / 1.5 Gbps IPS Throughput 200 Mbps
Firewall Latency 4 µs NGFW Throughput TBA
Concurrent Sessions 500,000 Virtual Domains (Default / Max) 10 / 10
New Sessions/Sec 4,000 Max Number of FortiAPs (Total/Tunnel) 10 / 5
Firewall Policies 5,000 Max Number of FortiTokens 100
IPSec VPN Throughput 1 Gbps Client-to-Gateway IPSec VPN Tunnels 500
SSL-VPN Throughput 30 Mbps
Concurrent SSL-VPN Users
(Recommended Max)
100
4x GE RJ45 Ports
2x Shared Media Pairs
1x DB9 Serial Port
3
1 2

21
FortiGate Rugged-90D
Firewall Throughput (1518/512/64) 2 Gbps IPS Throughput 1.1 Gbps
Concurrent Sessions 2.5 Million Virtual Domains (Default / Max) 10 / 10
Firewall Policies 5,000 Max Number of FortiTokens 100
IPSec VPN Throughput 84 Mbps Client-to-Gateway IPSec VPN Tunnels 1,000
(Recommended Max)
200
2x DB9 Serial Interface/Console
2x GE SFP Slots
1x GE RJ45 Bypass Pair
3x GE RJ45 ports
41
2
3 4

22
FortiGate Rugged-100C
Firewall Throughput (1518/512/64) 2000 / 1000 / 180 Mbps IPS Throughput 950 Mbps
Concurrent Sessions 2.5 Mil Virtual Domains (Default / Max) 10 / 10
Firewall Policies 10,000 Max Number of FortiTokens 1,000
IPSec VPN Throughput 60 Mbps Client-to-Gateway IPSec VPN Tunnels 5,000
(Recommended Max)
200
2x GE RJ45 Interfaces
4x FE Copper Interfaces
4x 100Base-FX Interface (SC)

23
FortiSwitch Rugged 112D-POE
Ruggedized PoE(+) L2 Switch
Specification
Hardware -40c to 75c, fanless, DIN mounted
Ports 8xPOE+ capable + 4xSFP ports
Power Supply External DC power 44v-57v, redundant inputs
L2 features VLAN support, 802.1Q, 802.1s
Optics Long Reach Optics support(up to 80km)
1
2
1
2
4 x SFP Ports
8 x GE RJ45 POE+ Ports
Redundant DC power inputs
3
3

24
Централизованное управление и отчетность
Управление
• Единый интерфейс
• Автоматическое профилирование
• Ролевой доступ
Отчетность
• Централизованный сбор (real-time или по
расписанию) и агрегация логов
• Составление отчетов
• Мониторинг событий, оповещений о критических
событиях

25
Fortinet AP family
3x3:3
Resiliency and
Versatility
Dual
Radi
o Dual
Ban
d
2x2:2
Performance
Sing
le
Radi
o1x1:1
Value
Remote Outdoor Indoor
802.11ac
802.11ac
FAP-28C
FAP-14C
FAP-11C
FAP-112B
FAP-210B
FAP-223B
FAP-221B
FAP-221C
FAP-320B
FAP-320C
FAP-222C

26
Снижение уровня рисков с помощью решений Fortinet
Risk = Threat x Vulnerability x Impact
Low = High x Low x Med

26
Prevent threats entering the organization with
stringent boundary controls including Web
Filtering, Anti-Virus, Intrusion Prevention and
Application Control (FortiGate) and Anti-
SPAM (FortiMail)

26
Provide secure remote access (FortiGate)
SSL and IPSEC VPN) together with secure
remote authentication methods
(FortiAuthenticator).

26
Segregate networks and prevent malware
propagation with inter-zone Anti-Virus,
Intrusion Prevention and Application Control
(FortiGate)

26
Secure wireless communication with rogue
access point detection and segregating
engineers traffic on dedicated SSIDs
(FortiGate & FortiAP)

26
Secure SCADA communications with
hardware accelerated VPN back to the
Management HMI network (FortiGate)

26
Prevent malware propagation and non-
authorised communication channels with on-
the-wire Anti-Virus, Intrusion Prevention and
Application Control (FortiGate)

26
Secure, audit and monitor HMI database
(FortiDB)

26
Vulnerability assesment, patch management
an auditing of all organizational assets

26
Защита HMI от компрометации с помощью
Web Application Firewalling (FortiWeb)

27

27
SPAM (FortiMail)

27

27
(FortiGate)

27

27
(FortiDB)

27

28

28
SPAM (FortiMail)

28

28
(FortiGate)

28

28
(FortiDB)

28

29

29
SPAM (FortiMail)

29

29
(FortiGate)

29

29
(FortiDB)

29

30
Комплексная защита индустриальных сетей
▪ Комплексная защита промышленной сети
▪ Интегрированное решение по безопасности включающее в себя:
» IPS
» Antivirus
» Antispam
» Application control
» Identity based policies
» Web filtering
» DB
» Stateful firewall
» VPN
» Wireless
» Strong Authentication
▪ Автоматизированный процесс обновлений
▪ Известные уязвимости SCADA в AV/IPS базах

31
Глобальная и локальная Безопасность
App Control Antivirus Anti-spam
IPS Web App Database
Web
Filtering
Vulnerability
Management
Botnet
Mobile
Security
Cloud
Sandbox
Deep
App Control
PartnerFortiWebFortiMailFortiClient FortiGate
Threat
Researchers
Threat Intelligence
Exchange
Противодействие
направленным
атакам

32
Fortinet имеет наилучший уровень сертификации
Description Fortinet Check Point Cisco Palo Alto Networks Juniper FireEye
NSS - Firewall NGFW Recommended Recommended
Recommended
& Neutral
Caution Caution x
NSS - Firewall DC Recommended x x x x x
NSS - Breach Detection Recommended x Recommended x x Caution
NSS - WAF Recommended x x x x x
NSS – Next Gen IPS Recommended x Recommended Neutral x x
NSS - IPS (DC) Neutral ✔ x x Caution x
BreakingPoint Resiliency Record High - 95 x x Poor - 53 x x
ICSA ATD (Sandbox) ✔ ✔ x ✔ x x
ICSA Network Firewall ✔ ✔ x ✔ ✔ x
ICSA Network IPS ✔ ✔ x x x x
ICSA Antivirus ✔ x x x x x
ICSA WAF ✔ x x x x x
VB 100 ✔ Caution x x x x
AV Comparative ✔ x x x x x
Common Criteria ✔ ✔ ✔ ✔ ✔ ✔
FIPS ✔ ✔ ✔ ✔ ✔ ✔

33
Сертификация от NSS Labs
Product 2012 2013 2014 2015 2016
Breach Detection Recommended Recommended
Data Center IPS Neutral
Firewall Recommended
NGFW Neutral Recommended Recommended Recommended
IPS Recommended Neutral
WAF Recommended
NGIPS Recommended
Endpoint Protection Recommended
$100 $80 $60 $40 $20 $0
100%
80%
70%
60%
50%
40%
90%
Products Tested
Next Generation Firewall (NGFW) Security Value MapTM
TCO per Protected Mbps
Average
Average
SecurityEffectiveness
Cyberoam
Juniper
February2016
Cisco ASA
WatchGuard
NSS Labs Rating
Palo Alto Networks
Forcepoint
Barracuda
Cisco FirePOWER
Dell SonicWALL
Check Point
Huawei
Hillstone
Fortinet

34
Будьте бдительны!

Решения Fortinet для обеспечения кибербезопасности промышленных систем автоматизации и управления

Решения Fortinet для обеспечения кибербезопасности промышленных систем автоматизации и управления

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

Similar a Решения Fortinet для обеспечения кибербезопасности промышленных систем автоматизации и управления

Similar a Решения Fortinet для обеспечения кибербезопасности промышленных систем автоматизации и управления (20)

Más de Компания УЦСБ

Más de Компания УЦСБ (18)

Решения Fortinet для обеспечения кибербезопасности промышленных систем автоматизации и управления