3. Honeywell ICS (HICS)
3
Amsterdam
AtlantaHouston
Edmonton
Santiago Perth
Kuala Lumpur
SSC + HICS
HICS Office
Private LSS SSC
HICS Resource(s)
Dubai
Vancouver Montreal
Bracknell
Aberdeen
BucharestOffenbach
Обслуживаемые отрасли:
• Нефть и газ
• Транспорт газа
• Электроэнергетика
• Нефтепереработка
• Химпроизводство
• Водоочистка
• Целлюлозно-бумажное
производство
• Морской транспорт
7. Управляемые услуги
промышленной киберзащиты
7
Автоматизация
обновлений ПО
и антивирусов
Мониторинг
защищенности и
производитель-
ности
Отчетность о
деятельности и
трендах
Расширенный
мониторинг и
управление
Защищен-
ный доступ
Протестированные и
квалифицированные
патчи для
операционных систем
и РСУ
Протестированные и
квалифицированные
обновления и
сигнатуры
антивирусной защиты
Содержательный
мониторинг здоровья
системы и уровня
защищенности
Круглосуточное
предупреждение об
инцидентах в
соответствии с
заданными порогами
Автоматизированная
инвентаризация
Ежемесячные и
квартальные
комплаенс отчеты и
отчеты о
производительности
Идентификация
критичных вопросов и
постоянных проблем
Межсетевые экраны,
системы
предотвращения
вторжений и др.
Решение «Honeywell
Industrial Cyber
Security Risk Manager»
Решение защищенного
удаленного доступа
Шифрование, двух-
факторная
аутентификация
Полный аудит,
отчетность и видео
запись
8. Защищенное соединение
• Архитектура: Relay Server L3.5 (“DMZ”) & Secure
Service Node L3
• Двух-факторная аутентификация
• Шифрованный туннель (VPN)
• Управляемые заказчиком политики доступа
• Полностью проверяемая запись и отчетность о
выполненных действиях
8
9. Архитектура
защищенного соединения
9
• Tunnel through corporate
network provides additional
security
Internet
Level 3
Level 3.5 DMZ
Level 4
Level 2
Level 1
ACE
Experion
Server
Domain
Controller
Domain
Controller
Experion
Server
3RD Party
Apps
Terminal
Server
eServer
EST
ESF
Anti-
Malware
Server
DMZ
Engineering
Controls
Operator
Controls
CORPORATE
WindowsTM
Patch
Mgmt
Server
(WSUS)
Corporate
Router
Industrial PCN Site
Communication
Server
DMZ
Database
Servers
Application
Servers
• Relay Server isolates PCN from Corporate Network
• Restricts end nodes from sending or receiving data out of PCN
Corporate
Proxy
Server
Relay
Server
Secure
Service
Node
Managed Security Service Center
• SSL Encrypted,
Certificate Authenticated
Tunnel
• Initiated by site’s Secure
Service Node
• Connect to Managed
Security Service Center
ONLY
10. Центр управляемых услуг
защиты (регион EMEA)
Portugal
Germany
Norway
Zambia
South Africa
North Sea
France
Sweden
Belgium
Italy
Romania
Cameroun
Tunisi
Kuwait
Slovakia
Namibia
Abu Dhabi
Saudi Arabia
Egypt
Finland
Poland
Estonia
Spain
Austria
United Kingdom
Zwitserland
Oman
Площадки 200+
Управление защитой 150+
Мониторинг 130+
SSC EMEA расположение:
• Амстердам – Голландия
• Бухарест - Румыния
SSC Support
team
SSC and
support
team
10
11. Сценарий взаимодействия
11
Обнаружена
проблема
Запрос на сессию
Включение сервера
VNC, генерация
временного пароля
Подключение к
серверу через центр
услуг
Совместное
устранение
проблемы
Выключение сервера
VNC, удаление
временного пароля
14. Тестирование и квалификация
обновлений Microsoft
• Фаза Бета квалификации (обновления безопасности
Microsoft)
• Публичная фаза квалификации (второй вторник каждого
месяца)
14
Голосование
и загрузка
обновлений
Подготовка и
выполнение
тестов
Передача
результатов
в Microsoft
Голосование и
загрузка
обновлений
Изучение
обновлений и
модификация
таблиц
Подготовка и
распространение
пакета
обновлений
15. Тестирование и квалификация
решений антивирусной защиты
• ПО антивирусной защиты для АСУ ТП
• Команда SUIT квалифицирует продукты антивирусной защиты
(McAfee & Symantec) в специальной конфигурации. Любые другие
настройки, а также запросы от третьей стороны на изменение
данной конфигурации, включая запросы от McAfee и Symantec по
умолчанию НЕ ЯВЛЯЮТСЯ сертифицированными.
• Обновления сигнатур
• Команда SUIT квалифицирует файлы McAfee Anti-Virus DAT
ежедневно выпускаемые компанией McAfee
15
16. Тестирование и квалификация
других обновлений
• ПО третьих поставщиков
• Квалификация обновлений Adobe Reader
• Квалификация пакета Microsoft Office
• Квалификация обновлений Vmware
• Таблица Honeywell Qualification Matrix
16
19. Лаборатория промышленной
киберзащиты
19
• Площадка для Разработки и
тестирования решений по
киберзащите компании Honeywell
• Демонстрационный стенд для
Заказчиков и заинтересованных лиц
‒ Академические программы обучения по
направлению киберзащиты
‒ Практические занятия
‒ Моделирование кибератак
‒ Демонстрация решений Honeywell по
киберзащите
Помещения лаборатории:
‒ Комната конференций
‒ Комната команды Red
‒ Комната команды Blue
‒ Серверная
‒ Сцена
‒ Рабочая комната
21. Пример 3-х дневного тренинга
• Первый день. Вводные мероприятия
• Знакомство с направлением HICS, лабораторией, продуктами и услугами
• Услуги HICS. Анализ уязвимостей. Программа обновления сетевого
оборудования
• Продукты HICS. Демонстрация продуктов (SMX)
• Обсуждение результатов
• Второй день. Моделирование кибератак
• Сценарий кибератаки 1 (разведка, выявление удаленных сервисов)
• Услуги HICS. Managed Industrial Cyber Security Services
• Сценарий кибератаки 2 (использование незащищенных узлов, подготовка APT)
• Продукты HICS. Демонстрация продуктов (AWL)
• Обсуждение результатов
• Третий день. Моделирование кибератак
• Сценарий кибератаки 3 (DoS атака, потеря наблюдаемости и контроля над
процессом)
• Продукты HICS. Демонстрация продуктов (RiskManager)
• Обсуждение результатов
21
23. • Вызовы связанные с защитой
• Рост объема информации ИБ различных систем, средств
защиты и приложений
• Многочисленные отдельные решения (AV, AWL, firewall, IPS,
NAC, HIPS, etc)
• Рост числа угроз
• Соответствие требованиям регуляторов
• Недостаток квалифицированных специалистов ИБ
• Постоянно меняющаяся среда
• Ответ - Security Operations Center (SOC)
• Обеспечивает сбор и консолидацию информации
• Обеспечивает непрерывную защиту
• Обеспечивает непрерывное обнаружение
• Обеспечивает ответные реакции
• Оптимизирует использование навыков квалифицированных
специалистов ИБ
Security Operations Center
24. Типовой промышленный
SOC (ICS SOC)
24
Управление производством, управление операциями
Уровень сбора данных
Оценка
угроз
Логи
событий
Управление защитой, соответствию требованиям, сетями
(анализ, корреляция, управление политиками, управление доступом)
Индикаторы
Производитель-
ности
Политики
Производитель АСУ ТП A Производитель АСУ ТП B
Индикаторы
рисков