Семинар КРОК 25 февраля 2016 г. «Информационная безопасность промышленных систем» Доклад «Актуальные решения по обеспечению безопасности промышленных систем» Антон Шипулин, руководитель проектов направления информационной безопасности КРОК Подробнее http://www.croc.ru/action/webinars/59878/

1. АКТУАЛЬНЫЕ РЕШЕНИЯ
ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ
ПРОМЫШЛЕННЫХ СИСТЕМ
Антон Шипулин
Руководитель проектов по информационной безопасности
Москва, 25 февраля 2016

2. НЕОБХОДИМОСТЬ ТЕХНИЧЕСКИХ МЕР
Источник: www.tofinosecurity.com

3. КЛАССИФИКАЦИЯ РЕШЕНИЙ
Технические решения
Активные/Блокирование
Традиционные
Специализированные
Пассивные/Мониторинг
Традиционные
Специализированные

4. 1. Промышленные межсетевые экраны / Industrial FW
2. Однонаправленные шлюзы / Unidirectional Gateways
3. Защиты конечных узлов / Endpoint Security
4. Контроль доступа администраторов / подрядчиков / PIM
5. Криптографическая защита каналов связи / VPN
6. Управление доступом к сети / NAC
7. Многофакторная аутентификации
АКТИВНЫЕ/БЛОКИРОВАНИЕ

5. ПРОМЫШЛЕННЫЕ МЭ
• Фильтрация промышленных протоколов
• Устойчивость к агрессивным средам
(температура, влажность, ЭМИ)
• Крепление (DIN-рейка)
• Проект РД ФСТЭК
Примеры:
• Belden, Cisco, Check Point, Phoenix
Contact
• Российские: Symanitron, ИнфоТеКС
Промышленный
Межсетевой Экран
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian

6. ФСТЭК: ПРОМЫШЛЕННЫЕ МЭ

7. ОДНОНАПРАВЛЕННЫЕ ШЛЮЗЫ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Однонаправленный
шлюз
• Невозможность передачи данных в
обратном направлении
Особенности:
• Исключение других сетевых каналов
• Появление несетевых каналов
(ноутбуки, носители, и т.д.)
• Доработка под нужные протоколы
Примеры:
• Waterfall Security Solution, Fox
DataDiode
• Российские: SECURE DIODE, …

8. ЗАЩИТЫ КОНЕЧНЫХ УЗЛОВ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер
(PLC)
Historian
• Блокирование ВПО
• Контроль периферийных устройств
(носители, адаптеры)
• Контроль запуска приложений
Особенности:
• Сертификация вендоров АСУ ТП
• Потребление ресурсов
• Проект РД ФСТЭК
Примеры:
• Symantec, McAfee, Trend Micro
• Российские: Kaspersky

9. КОНТРОЛЬ ДОСТУПА АДМИНИСТРАТОРОВ
HMI
SCADA Server
Межсетевой
экран
ДатчикиИсполнительные
механизмы
Программируемый
логический контроллер (PLC)
Historian
Север контроля доступа
привелегированных пользователей
Протокол
управления
Протокол
управления
Служба
безопасности
Уведомления
Контроль
• Разграничение доступа и
мониторинг активности
административного персонала
систем (вендоры, подрядчики)
• Едина точка доступа к
контролируемым системам,
хранение учетных данных
Примеры:
• CyberArk, Wallix, …
• Российские: SafeInspect

10. 1. Обнаружение сетевых атак и аномалий / IDS / NBAD / DPI
2. Мониторинг событий безопасности / SIEM
3. Мониторинг беспроводных сетей / WIPS
4. Анализ уязвимостей (активный / пассивный / конфигураций)
5. Контроль утечек информации / DLP
6. Анализ правил сетевого доступа
7. Контроль целостности данных
8. Системы ловушки / Honeypots
9. Сервисы разведки кибер угроз
ПАССИВНЫЕ/МОНИТОРИНГ

11. ОБНАРУЖЕНИЕ АТАК И АНОМАЛИЙ
Мониторинг аномалий:
• Пассивный мониторинг трафика
• Формирование профиля нормального
поведения сетевой активности
• Обнаружение посторонних хостов, портов
• Обнаружение атак, в т.ч. на 0-day
уязвимости
• Обнаружение аномальных команд
управления и параметров в промышленных
протоколах/состояний процесса
Примеры:
• Lancope/Cisco, Elbit, Radiflow, Indegy,
CyberLens, Sophia, Sentryo, SCADAfence,
Symantec
• Российские: Kaspersky, Positive Tech, SECURE
OUTLINE, InfoWatch,
Мониторинг атак:
• Пассивный мониторинг трафика
• Обнаружение атак на компоненты промышленных
систем на основе сигнатур, оповещение администратора
• Поддержка промышленных сигнатур
Примеры:
• McAfee, Trend Micro (HP) TippingPoint, Check Point, Cisco, …

12. МОНИТОРИНГ БЕСПРОВОДНЫХ СЕТЕЙ
• Мониторинг анализ радиоэфира сенсорами
• Обнаружение атак на существующие WiFi сети
• Обнаружение несанкционированных беспроводных сетей
(точки доступа, персональные модемы)
Примеры:
• AirTight, Fluke, Cisco, Aruba, …

13. МОНИТОРИНГ СОБЫТИЙ ИБ
• Сбор и анализ событий ИБ с АРМ, прикладных систем, систем безопасности, сетевого оборудованию,
контроллеров. Использование штатных протоколов/интерфейсов. Установка агентов где требуется и где
допустимо
• Корреляция событий оповещение об инцидентах ИБ
Примеры:
• HP ArcSight, IBM Qradar, McAfee/Nitro
• Российские: Positive Technologies, …

14. ИСТОЧНИКИ СОБЫТИЙ ИБ
Источник: https://twitter.com/GridCyberSec

15. АНАЛИЗ УЯЗВИМОСТЕЙ
Метод Описание Примеры
Активный
анализ
• Традиционное сканирование хостов и портов,
• Идентификация и верификация уязвимостей
• Онлайн брутфорс учетных записей
• Поддержка промышленного ПО и оборудования
Ограничения:
• Стенды
• Технологические окна
• Высокоуровневые системы
• Tenable Nessus
Российские:
• Positive Technologies
• SCADA-аудитор
Пассивный
анализ
• Пассивный сбор и анализ сетевого трафика
• Выявление узлов сети, портов, уязвимостей, паролей
• Поддержка промышленного ПО и оборудования
Особенности:
• Требует большее времени для сбора данных
• Cisco FirePOWER
• Tenable PVS
Российские:
• Positive Technologies
Прямой
доступ
• Сбор и анализ конфигураций и состояний оборудования
• Сбор «дампов» паролей с последующим анализом офлайн
• Поддержка промышленного ПО и оборудования
Особенности:
• Доступ через штатные интерфейсы
• Tenable Nessus
Российские:
• Positive Technologies

16. АНАЛИЗ ПРАВИЛ СЕТЕВОГО ДОСТУПА
• Формирование эталонной политики сетевого обмена
• Регулярный контроль соответствия правил МЭ эталонной политике
• Моделирование возможных сценариев атак
• Составление актуальной карты сети
Примеры:
• Algosec, SkyBox, Tufin, …

17. • Сбор текущих прошивок, проектов,
конфигураций контроллеров, сетевого
оборудование, серверов, АРМ через
стандартные интерфейсы/API
• Сравнение с эталонными версиями и
оповещение в случае отклонения
Примеры:
• Cisco ICS Defender, Tripwire File Integrity
Monitoring
• Российские: Kaspersky
КОНТРОЛЬ ЦЕЛОСТНОСТИ ДАННЫХ

18. Пример критичных данных:
• Структура управления
• Оргструктура объекта
• Структура и состав КТС
• Порядок технологических операций
• Порядок работы защиты и блокировок
• Команды управления, уставки
• …
КОНТРОЛЬ УТЕЧЕК ИНФОРМАЦИИ / DLP
2014. Атака на компьютерную систему
энергетической компании Korea Hydro and
Nuclear Power Co, оперирующей 23 ядерными
реакторами в Южной Корее. Украдены
подробные схемы атомных реакторов с
описаниями алгоритмов управления АЭС.

19. СЕРВИСЫ РАЗВЕДКИ КИБЕР УГРОЗ
• Возможна настройка сервиса под свои объекты (оборудование, адреса сетей)
• Анализ источников и выделение данных об угрозах: уязвимости, инциденты,
скомпрометированные учетные данные, zero-day эксплоиты, и др. параметры угроз
• Настройка уведомлений об угрозах вашим объектам и их параметрах
Примеры:
• XSense, Critical Intelligence, Recorded Future

20. • Показывают реальные угрозы
основным системам
• Отвлекают ресурсы атакующих
Особенности:
• Должны быть похожи на
основные системы
(устройства, процессы)
• Должны быть корректно
настроены
Примеры:
• Conpot, SCADA honeynet, GridPot
(Open Source)
СИСТЕМЫ ЛОВУШКИ / HONEYPOTS

21. OPEN SOURCE
Источник: http://www.slideshare.net/chrissistrunk/def-con-23-nsm-101-for-ics

22. СПАСИБО
ЗА ВНИМАНИЕ!
Антон Шипулин
Руководитель проектов
по информационной
безопасности
111033, Москва, ул. Волочаевская, д.5, к.1
Т: (495) 974 2274 # 6412 | Ф: (495) 974 2277
E-mail: AnShipulin@croc.ru
croc.ru
CISSP, CEH, CSSA, Project+

23. Имя Фамилия
Должность автора
111033, Москва, ул. Волочаевская, д.5, к.1
Т: (495) 974 2274 | Ф: (495) 974 2277
E-mail: croc@croc.ru
croc.ru
СПАСИБО
ЗА ВНИМАНИЕ!