Embed Size (px)
Citation preview
1
ЛАНДШАФТ КИБЕРУГРОЗ АСУ ТП H2 2017
3
НАШИ ИНИЦИАТИВЫ ПО ЗАЩИТЕ ПРОМ. ПРЕДПРИЯТИЙ
KL ICS Cyber Emergency Response Team -
инициатива ЛК, нацеленная на защиту
промышленных предприятий
Официально запущен в конце 2016
Более 130 уязвимостей 0-го дня в
ниболее популярных системах
промышленной автоматизации
Отслеживаем состояние ИБ
более 100 000 промышленных узлов
KICS - набор продуктов и сервисов для защиты систем
промышленной автоматизации.
Запущен в конце 2015 г.
Несколько десятков инсталляций в разных странах
мира
4
Обозревает состояние защиты
более 100 000 промышленных
узлов по всему миру
Статистика Kaspersky Security Network
Данные ЛК об угрозах в промышленных сетях
17,1
0% 20% 2
2,1
0%
23,6
0%
24,8
0%
24,1
0%
17,2
0%
17,4
0% 20,5
0%
22,4
0%
20,3
0%
21,9
0%
0,00%
5,00%
10,00%
15,00%
20,00%
25,00%
30,00%
Июль Август Сентябрь Октябрь Ноябрь Декабрь
% атакованных конечных узлов по месяцам
2016 2017
5
Обозревает состояние защиты
более 100 000 промышленных
узлов по всему миру
Статистика Kaspersky Security Network
Данные ЛК об угрозах в промышленных сетях
Типовое заражение - это троян +
попытка загрузить доп модули:
• троянцы-шпионы
• программы-вымогатели (Trojan-Ransom);
• бэкдоры (Backdoor);
• средства удаленного администрирования;
• программы типа Wiper (KillDisk),
6
ВО ВТОРОМ ПОЛУГОДИИИ 2017 Г
КАЖДЫЙ ВТОРОЙ
ПРОМЫШЛЕННЫЙ КОМПЬЮТЕР В
РОССИИ ПОДВЕРГСЯ АТАКЕ
Данные ЛК об угрозах в промышленных сетях - Георграфия
55,60%
55,30%
46,80%
40,30%
39,10%
26,20%
20,30%
56,50%
56,10%
43,00%
48,20%
38,40%
25,50%
18,20%
Africa
APAC
Russia
Middle East
Latin America
Europe
North America
H1 2017 H2 2017
7
Статистика Kaspersky Security Network
Данные ЛК об угрозах в промышленных сетях - Георграфия
46,3%
46,1%
43,0%
37,8%
37,6%
32,2%
29,3%
28,5%
23,6%
23,0%
22,4%
19,8%
19,6%
19,4%
18,8%
18,6%
17,4%
15,5%
14,1%
13,8%
Ukraine
Portugal
Russian Federation
Poland
Belarus
Spain
Romania
Italy
Slovakia
United Kingdom
France
Czech Republic
Belgium
Austria
Sweden
Germany
Switzerland
Netherlands
Denmark
Ireland
В РАМКАХ РЕГИОНОВ СТАТИСТИКА РАЗНАЯ
Возможные причины:
- Геополитика
- Кибер-ландшафт
- Различные подходы и практики для обеспечения
информационной безопасности систем АСУ ТП
8
Статистика Kaspersky Security Network
Данные ЛК об угрозах в промышленных сетях – Источники заражения
-Во всех регионах интернет – основной
источник заражений
-В Европе и Северной Америке процент
угроз из интернета ниже
Может объясняться соблюдением базовых норм
безопасности при построении сетей)
-В России высокий процент подверженных
атакам узлов,
При этом «флешки» и «почта» также не
часто становятся угрозой
Следствие эффективных административных мер)
0,00%
5,00%
10,00%
15,00%
20,00%
25,00%
30,00%
35,00%
40,00%
Интернет Съемные носители Почтовые клиенты
% атакованных конечных узлов
Африка Россия
Asia Pacific Латинская Америка
Ближний восток Европа
Северная Америка
9
% Атакованных узлов
по отраслям
Атаки на инжиниринговые компании
и разработчиков ПО – опасный
тренд (Supply chain attack)
Данные ЛК об угрозах в промышленных сетях по отраслям
41,20%
35,10%
25,90%
35,30%
29,60%
28,70%
28,70%
27,10%
28,40%
27,70%
26,40%
25,00%
19,20%
18,60%
38,70%
35,30%
31,10%
30,70%
44,40%
27,70%
27,50%
27,40%
27,30%
27,20%
26,20%
23,50%
19,80%
14,70%
Энергетика
Инжиниринг и интеграторы АСУ
Строительство
Продукты питания и напитки
Образование
Фармацевтика
Телеком
Индустриальные холдинги
Коммунальный сектор
Призводство
Нефтегаз
Горнодобывающая промышленность
Транспорт и логистика
Разработка пром ПО
2017 2016
10
Результаты опроса 359 специалистов,
отвечающих за ИБ АСУ по всему миру
53% 36
%29%
Типовое вредоносное ПОявляется самой частой причиной киберинцидентов
Высокая вероятность проникновенияквалифицированных и мотивированных злоумышленников
ОЧЕВИДНА
в 54% промышленных компаний произошло от 1 до 5 инцидентов кибербезопасности
за последние 12 месяцев
А что «в полях»?
11
56%
32%
31%
44%
33%
19%
41%
30%
14%
53%
36%
29%
26%
24%
21%
17%
13%
9%
Типовое вредоносное ПО/Вирусные атаки
Таргетированные атаки (APT)
Ошибки / ненамеренные действия операторов
Угрозы от "третьих лиц" (Поставщики итп)
Шифровальщики
Ошибки промышленного ПО
Саботаж (Сторонние лица)
Саботаж (Сотрудники)
Сбои оброрудования
Ожидания Произошедшие инциденты
12
56%
44%
41%
33%
32%
31%
30%
19%
14%
53%
26%
17%
24%
36%
29%
13%
21%
9%
Типовое вредоносное ПО/Вирусные атаки
Угрозы от "третьих лиц" (Поставщики итп)
Саботаж (Сторонние лица)
Шифровальщики
Таргетированные атаки (APT)
Ошибки / ненамеренные действия оператора
Саботаж (Сотрудники)
Ошибки промышленного ПО
Сбои оброрудования
Ожидания Произошедшие инциденты
↓↓↓
13
Работа с «Человеческим фактором»
АУДИТОРИЯ
Инженеры АСУТП и ИТ персонал на
промышленном предприятии
НЕОБХОДИМЫЕ ЗНАНИЯ
• Актуальная информация о
деятельности и методах, используемых
злоумышленниками
• Лучшие практики по базовым вопросам
• сегментированию сети
• удаленному доступу
• …
• Роли, команда и система управления ИБ
• Реагирование на инцидент
14
Результаты опроса 359 специалистов,
отвечающих за ИБ АСУ по всему миру
53% 36
%29%
Типовое вредоносное ПОявляется самой частой причиной киберинцидентов
в 54% промышленных компаний произошло от 1 до 5 инцидентов кибербезопасности
за последние 12 месяцев
А что «в полях»?
«СЛУЧАЙНЫЕ» заражения промыщленных объектов
вредоносным ПО - реальный ущерб уже сегодня и
иллюстрация текщиего уровня защищенности
15 Пример развития таргетированной атаки на промышленный объект – АТАКА НА ПАЗ: TRITON/TRISIS - 2017
► ПАЗ Schneider Electric Triconex
► Саудовская Аравия
► IP протокол TriStation
► 0-Day уязвимость в контроллере
► Чтение и запись программы, чтение и
запись отдельных функций и запрос
состояния контроллера ПАЗ
Возможности атаки:
► Активация ПАЗ для остановки процесса
► Перепрограммирование ПАЗ для
пропуска опасного состояния процесса
► Источник: https://goo.gl/yv7P9c
16 Пример развития таргетированной атаки на промышленный объект
Исследовано ранее
Сетевая активность на разных этапах атаки
► DNS
► SSH
► RDP
► RPC/SMB (PsExec)
► HTTP (Webshell)
► TCP/UDP (Nmap, iPerf)
► VPN
Активность на хостах на разных этапах атаки
► Powershell, Pyton
► SSH clients (Putty/Plinks)
► Netcat/Cryptocat
► Mmikatz, PsExec
► AdExplorer, ShareEnum, PsGetSid
► Nmap, iPerf
Не хватило!
17 Роль защиты конечных узлов в комплексе мер
Атака на конечные узлы – актуальная причина инцидентов сегодня и
наиболее вероятный элемент целенаправленного вторжения
1) Существует понятный набор существующих мер и средств защиты, позволяющий практически
исколючить сценрарий случайного заражения и существенно затруднить целевую атаку
2) Внедрение средств защиты конечных узлов не требует модернизации сетей и дополнительных
компетенций персонала
Почему на практике защита АРМ и Серверов в промышленных объектах
не реализуется в полной мере?
При этом:
18
ПРОБЛЕМЫ В ТЕХНОЛОГИЧЕСКОЙ СЕТИ:
ИНТЕРНЕТ
300 000 новых угроз
в день
Динамический
набор софта
Корпоративные средства защиты
Проактивные технологии
Мониторинг работы приложений
КЛАССИЧЕСКОЕ РЕШЕНИЕ:
Высокая вероятность ложного
срабатывания
Высокое портребление ресурсов
защищаемой системы
Тонкий «тюнинг» средств защиты:
• Исключение областей проверок
• Отключение защитных технологий
• Особые регламенты работы
«Офисные» средства защиты в технологических сетях
19
Промышленная кибербезопасность на примере Endpoint Protection
ТРЕБОВАНИЯ К СПЕЦИАЛИЗИРОВАННОМУ ПРОДУКТУ ДЛЯ ЗАЩИТЫ КОМПОНЕНТ АСУ ТП:
Статичный набор софта
Регламентированные подключения
ко внещним сетям
Промышленные средства защиты
Ограничение программной среды
Периодические проверки
Отсутствие ложных срабатываний
Прогнозируемое портребление
ресурсов защищаемой системы
Поддержка старых ОС
Легкая установка и настройка
20
ТРЕБОВАНИЯ ПРИКАЗА ФСТЭК 239
Идентификация и
аутентификация
Управление
доступом
Ограничение
программной
среды
Защита машинных
носителей
информации
Аудит
Безопасности
Антивирусная
защита
Предотвращение
вторжений
Обеспечение
целостности
Обеспечение
доступности
Защита
технических
средств
Защита
информационной
системы
Реагирование на
компьютерные
инциденты
Управление
конфигурацией
Управление
обновлениями ПО
Планирование
мероприятий по
обеспечению ИБ
Обеспечение
действий в
нештатных ситуациях
Обучение
персонала Реализация полного комплекса мер
требует:
- Проработки технических решений
- Много времени на реализацию
- Существенных финаннсовых затрат
- Адаптации орг структуры предприятия
- Подготовки кадров
- Глубокой модернизации технологических сетей
21
Идентификация и
аутентификация
Управление
доступом
Ограничение
программной
среды
Защита машинных
носителей
информации
Аудит
Безопасности
Антивирусная
защита
Предотвращение
вторжений
Обеспечение
целостности
Обеспечение
доступности
Защита
технических
средств
Защита
информационной
системы
Реагирование на
компьютерные
инциденты
Управление
конфигурацией
Управление
обновлениями ПО
Планирование
мероприятий по
обеспечению ИБ
Обеспечение
действий в
нештатных ситуациях
Обучение
персонала
ТРЕБОВАНИЯ ПРИКАЗА ФСТЭК 239
При этом значимая часть мер
• Реализуема существующими
техническими средствами
• Без серьезной реорганизации
текущих инфраструктур
• Заметно снизит вероятность
возникновения инцидента
ЗАЩИТА КОНЕЧНЫХ УЗЛОВ КАК ПЕРВЫЙ ШАГ ОБЕСПЕЧЕНИЯ ИБ ПРОМЫШЛЕННЫХ ИНФРАСТРУКТУР
Выводы
1. ЛК обнаруживает десятки тысяч инцидентов ИБ в промышленных сетях по всему миру
2. Атаки на Windows узлы – есть и будут самой распрстраненной их составляющей
3. Опыт использования офисных продуктов в АСУ ТП приводит к отсуствию реальной защиты
4. Сегодня уже существуют решения, успешно применяемые для защиты компонент АСУ ТП
5. Вндрение защиты конечных узлов не требует длительных аудитов и проектирования
6. Имеет смысл приоритезировать очередность и срочность внедрения мер и средств защиты
конечных узлов в АСУ ТП
