Практика проведения аудитов информационной безопасности АСУ ТП
Алексей Комаров Менеджер по развитию решений
Региональный представитель в Москве Уральский Центр Систем Безопасности
Вебинар 19 ноября 2015 года
Серия вебинаров ИБ АСУ ТП• Серия 1. Архитектура и основные компоненты АСУ ТП с точки зрения ИБ • Серия 2. Взаимосвязь АСУ ТП с ИТ и основные отличия подходов к обеспечению безопасности • Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области защиты АСУ ТП
• Серия 4. Практика проведения аудитов ИБ АСУ ТП • Серия 5. Построение комплексной системы защиты АСУ ТП • Серия 6. Управление ИБ в АСУ ТП и способы её автоматизации • Серия 7. Система анализа и мониторинга состояния информационной безопасности автоматизированных систем управления
• Серия 8. Защита АСУ ТП на примере решения УЦСБ DATAPK • Серия 9. Типовые требования по обеспечению ИБ на примере системы автоматического управления и регулирования компрессорного цеха
2
Материалы вебинаров
• Сайт УЦСБ • www.ussc.ru/events/webinar
• YouTube • http://www.youtube.com/user/usscpublic
• SlideShare • http://www.slideshare.net/USSCru
• Вопросы • [email protected]
3
• Что понимаем под аудитом? • Основные предпосылки для проведения аудита • Порядок проведения аудита • Практика проведения аудитов • Статистические результаты проведения аудитов • Выводы по итогам аудита
Содержание
Что понимаем по аудитом?• Кто проводит? • На соответствие чему? • Обследование - это аудит? • Пентест - это аудит?
Возможные определения
• Аудит информационной безопасности — системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.
• Аудит информационной безопасности — процесс сбора и анализа информации о системе для качественной или количественной оценки уровня её защищённости от атак злоумышленников.
6
Кто и на соответствие чему проводит аудит?• По исполнителю:
• внутренний аудит • внешний аудит • комбинированный аудит
• Аудит всегда проводится на соответствие чему-то • корпоративный стандарт • законодательные требования • лучшие практики • здравый смысл
7
Обследование, пентест, аудит• Обследование/исследование
• По сути - лишь инвентаризация
• Пентест (тест на проникновение) • Осуществляется поиск «кратчайшего» пути/путей
• Не отличается полнотой и всеобъемлемостью
• Аудит • Выявляются наиболее критичные угрозы
• Проверяется соответствие • По итогам - рекомендации
• Обследование и пентест - лишь этапы аудита, служащие для сбора данных, которые затем анализируются
8
Методы анализа данных в ходе аудита• Анализ рисков
• Определяется индивидуальный набор требований безопасности, в наибольшей степени учитывающий особенности конкретной системы, среды её функционирования и существующие угрозы безопасности.
• Использование стандартов ИБ • Стандарты определяют базовый набор требований безопасности, а в ходе аудита определяется набор требований стандарта, соответствие которым нужно обеспечить.
• Комбинированный подход • Базовый набор предъявляемых требований безопасности определяется стандартом. Дополнительные требования с максимальным учётом особенностей конкретной системы, формируются на основе анализа рисков.
9
Основные предпосылки для проведения аудита• Уязвимость компонентов АСУ ТП • Инциденты ИБ в АСУ ТП • Оценка текущего уровня защищённости • Требования законодательства • Анализ АСУ ТП как объекта
Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта
11
Уязвимость компонентов АСУ ТП
12
Результатыисследованияпрограммногообеспечения752различныхустрои<ств,поддерживающихнизкоуровневыи<протоколHART,источник:DigitalSecurity
ЧислообнаруженныхуязвимостейвАСУТП,источник:PositiveTechnologies
Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта
13
Предпосылки угроз ИБ в АСУ ТП1. Применение современных сетевых технологий
2. Применение незащищенных промышленных протоколов (MODBUS, PROFIBUS и т.д.) поверх традиционных сетевых (TCP/IP)
OSI Протокол7 Modbus
6 -
5 -
4 -3 -
2 RTU, ASCII
1 RS-232, RS-485
OSI Протокол7 Modbus
6 -
5 -
4 TCP3 IP
2Ethernet1
14
Предпосылки угроз ИБ в АСУ ТП
15
3. Применение традиционных ИТ-решений
4. Исследования безопасности АСУ ТП
2010 StuxnetГода Уязвимости
2005-2010 20
Года Уязвимости
2011-2012 162
Актуальные угрозы ИБ АСУ ТП• Несанкционированное использование технологий удаленного доступа • Атаки через офисную (корпоративную) сеть передачи данных
• Атаки на традиционные IT-компоненты, применяемые в АСУ ТП • (D)DoS атаки • Человеческие ошибки и злонамеренные действия персонала • Распространение вредоносного ПО с помощью съемных носителей информации и устройств, подключаемых к сети АСУ ТП
• Перехват, искажение и передача информации, циркулирующей в сети АСУ ТП • Неавторизованный доступ к компонентам АСУ ТП • Атаки на сеть передачи данных АСУ ТП • Отказы оборудования, форс-мажор
16Источник: Федеральное управление по информационной безопасности, Германия
Industrial Control System Security – Top 10 Threats and Countermeasures
Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта
17
В АСУ ТП происходят инциденты ИБ
18
Дата Страна Инцидент
декабрь 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод, в результате которой предприятию был нанесён ущерб.
июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы.
февраль 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища.
март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании.
июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы
июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера
сентябрь 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
НекоторыеинцидентыИБАСУТП,источники:СМИhttp://ZLONOV.ru/category/incidents/
Инциденты ИБ происходят в различных секторах
19Распределениеинцидентовпосекторампромышленностив2014году,
источник:ICS-CERT
Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта
20
Требования по защите АСУ ТП
21
2005
2007
2011
2012
2013
2014
Система признаков КВО
ФСТЭККСИИ
ФЗ №256
Основные направления…
О безопасности КИИ РФ
Приказ №31 ФСТЭКТребования по ЗИ в АСУ ТП
http://ZLONOV.ru/2015/06/ics-security-regulations/
Основные предпосылки для проведения аудита
• Уязвимость компонентов АСУ ТП • Угрозы ИБ в АСУ ТП • Инциденты ИБ в АСУ ТП • Требования законодательства • Анализ АСУ ТП как объекта
22
Зачем заказывают аудит ИБ АСУ ТП?
23
оценкатекущегоуровнязащищенностиАСУТП
ущерб уязвимости
угрозы
контрользащищенности
доступизсмежныхсетей идентификацияобъектовзащитыклассификация
Чтотакое
АСУТП? уязвимости
классификация
угрозы
контрользащищенностиущерб
ущерб
ущербугрозы
Порядок проведения аудита• Цели и задачи аудита • Состав работ по аудиту • Стадии и роли в ходе аудита
Цели аудита
• Качественно проведённый аудит ИБ АСУ ТП позволит достичь следующих целей:
• получить объективную и независимую оценку текущего уровня обеспечения ИБ АСУ ТП, с учетом корпоративных и отраслевых документов, требований законодательства РФ и опыта лучших мировых практик;
• запланировать реализацию комплекса мер, направленных на повышение уровня защищённости АСУ ТП;
• выделить и обосновать актуальные технические требования к СЗИ АСУ ТП.
25
Задачи аудита• обследование организационных и технических мер обеспечения ИБ АСУ ТП; • анализ защищённости АСУ ТП в виде тестирования эффективности принятых защитных мер;
• оценка соответствия положениям корпоративных и отраслевых документов, требованиям законодательства РФ и международных стандартов в области ИБ АСУ ТП;
• анализ угроз ИБ и уязвимостей ИБ АСУ ТП, разработка модели угроз ИБ АСУ ТП; • разработка организационно-технических рекомендаций (плана) по повышению уровня ИБ АСУ ТП;
• разработка задания на проектирование и технических требований к СЗИ АСУ ТП.
26
Состав работ по аудиту. Стадии и роли в ходе аудита.
27
Состав работ по аудиту. Стадии и роли в ходе аудита.
28
Состав работ по аудиту. Стадии и роли в ходе аудита.
29
Практика проведения аудитов• Важные нюансы при составлении ТЗ • Особенности сбора данных • Ограничения тестирований на проникновение • Подход к моделированию угроз • Модель нарушителя и сценарии реализации угроз • Варианты оценки ущерба • Представление результатов
Важные нюансы при составлении ТЗ• Границы проведения аудита
• Перечень АСУ ТП - задан/должен быть определён
• Глубина аудита - инструментальный контроль?
• Результаты аудита • Результаты аудита ИБ АСУ ТП - документ для руководства
• Отчёт об обследовании АСУ ТП
• Результаты оценки соответствия требованиям и анализа угроз и уязвимостей АСУ ТП
• План защиты АСУ ТП
• Квалификация участников • Наличие лицензий ФСТЭК/ФСБ
• Опыт аналогичных работ • Наличие квалифицированного персонала и материально-технических ресурсов • Качество технической части предложения
31
Особенности некоторых этапов аудита
32
Обследование:Сборданных
Обследование:Тестированиенапроникновение
Моделированиеугроз
Представлениерезультатов
Сбор данных
33
задачи
Анализдокументации
Интервьюирование
Инструментальное
обследование
кого опрашивать?
проектанетилиутерян
нельзяиспользоватьстороннееПО
Проект
ЭД
журналТО
Оператор
Имя:ИванИвановГодрождения:1975Образование:среднее
ИнженерКИПиА
Имя:ПетрИвановГодрождения:1980Образование:высшее
Разработчик
Имя:Степан
Широков
Годрождения:1984
Образование:
высшее
• Технологическийрегламент• Инструкцииперсонала• Осмотридокументирование
• ВстроенныесредствасистемногоиприкладногоПО
Программаобследования
Тестирование на проникновение
34
задачи
1.РазработкаПрограммыивыборинструментов
2.Проникновениевзащищаемыйсегмент
3.Демонстрация атак
толькодограницысегментаАСУТП
настендеразработчика
Разработчик
Имя:Степан
Широков
Годрождения:1984
Образование:
высшее
Моделирование угроз
35
Модельнарушителя
Сценарииреализации
Оценкаущерба
Модель нарушителя
36
КонтролируемаязонаПостконтроляиуправления
Аппаратная
Оператор
Сервисныеорганизации
Преступныеэлементы
Пользователисмежныхсистем
ОбслуживающийперсоналСАУ
Подрядныеорганизации
Администраторысмежныхсистем
Сценарии реализации
37
Несанкционированноеподключениесъемного
носителя
ЗаражениевредоноснымПО Отказфункции
управления
АтаканаотказвобслуживанииПЛК
НСДвтехнологическуюсеть
Аварийныйостанов
УстановкапостороннегоПОнаАРМоператора
Оценка ущерба
38
ИнформационнаяБезопасность
ПромышленнаяБезопасность
Представление результатов
39
Схема структурная
40
Схема функциональная
41
СерверSCADA
ПЛК
ТОУ
АРМоператораВышестоящиеи
смежныесистемы
–производственныезадачи
–параметрыТП
–командыуправленияТП
–уставки
–параметрыТОУ
–прямоеуправлениеТОУ
Визуализация сценариев реализации угроз ИБ
42
Статистические результаты проведения аудитов• Статистика по проведённым аудитам • Применяемые технические меры защиты • Основные организационные мероприятия • Комплекс мер по физической безопасности
Источники данных• Результаты аудитов ИБ АСУ ТП, выполненных компанией УЦСБ:
• В предприятиях металлургической отрасли и ТЭК
• Более 30 производственных объектах
• Включали более 150 АСУ ТП
44
Направления оценки защищённости
45
Организационныемероприятия
Физическаябезопасность
Техническиемерызащиты
Технические меры защиты
46
Сетеваябезопасность • Обеспечиваетсядля88%объектов
• Для17%АСУТПестьудаленныйдоступизкорп.сети
Встроенныемеханизмызащиты
• HMI–аутентификация,режимкиоска,ограничениядоступакменю
• СистемноеПО–поумолчанию
• ПЛК–отключены
Антивируснаязащита • Применяетсяв25%АСУТП• Обновляетсяв11%АСУТП
Обновления • Своевременныедля8%АСУТП
✓
Организационные мероприятия
47
Организационно-распорядительнаядокументация
• Присутствуету100%предприятий
СпециалистыИБнапроизводственныхобъектах
• Присутствуютна15%объектов
КонтрольвыполнениятребованийИБподрядчиками
• Неосуществляется
✓
Физическая безопасность
48
Применяетсякомплексмерфиз.безопасностипопричине:• Требованийзаконодательства• Внутреннихтребований• Рисковхищенияпродукции
Нобываетитак:
✓
ОператорнаяАСУТП
Выводы по итогам аудита• План защиты АСУ ТП • Технические средства vs Организационные меры • Меры повышения защищённости
План защиты АСУ ТП - пример• Рекомендации по повышению уровня защищённости АСУ ТП
• Рекомендации по выполнению требований отраслевых политик по обеспечению ИБ
• Организационные мероприятия • Технические мероприятия
• Рекомендации по устранению выявленных уязвимостей ИБ АСУ ТП
• Рекомендации по устранению уязвимостей на организационном уровне АСУ ТП
• Рекомендации по устранению уязвимостей сети передачи данных АСУ ТП
• Рекомендации по устранению уязвимостей прикладного ПО АСУ ТП
• Рекомендации по устранению уязвимостей общесистемного ПО АСУ ТП
• Рекомендации по выполнению требований, утвержденных Приказом ФСТЭК России №31
• Организационные мероприятия • Технические мероприятия
• Рекомендации по совершенствованию системы ИБ АСУ ТП
50
Не только технические средства защиты• Опыт выполнения проектов по проведению аудитов информационной безопасностипромышленных систем автоматизации и управления на предприятиях ТЭК, в металлургической отрасли и др.показывает, что в качестве первоочередных мер далеко не всегда требуется внедрениетехнических средств.
• Существенно повысить уровень защищённости часто можно и без приобретения дорогостоящих средств защиты. Грамотно выполненный квалифицированными специалистами аудит информационной безопасности АСУ ТП позволяет определить правильные компенсирующие меры, эффективные как с точки зрения обеспечиваемого уровня защищённости, так и с точки зрения экономической обоснованности.
• Применение же технических средств защиты должно обязательно учитывать особенности объекта защиты – нужно принимать во внимание различные режимы работы АСУ ТП (штатный/нештатный, автоматизированный/автоматический и т.д.), а также максимально исключить влияние средства защиты непосредственно на сам технологический процесс.
51Журнал"InformationSecurity/Информационнаябезопасность"#4,2015
Меры повышения защищённости• Первоочередные меры – меры, устраняющие критичные уязвимости ИБ АСУ ТП и реализующие обязательные требования в области ИБ АСУ ТП (отраслевые требования).
• Перспективные меры – выполнение организационных и технических требований, утвержденных Приказом ФСТЭК России №31, и модернизация существующей системы ИБ АСУ ТП.
• Для обеспечения сохранения инвестиций в существующие СрЗИ и максимального учета отраслевых требований и требований законодательства РФ в области ИБ АСУ ТП, при совершенствовании системы ИБ рекомендуется использовать комплексный подход, заключающийся в создании комплексной системы защиты информации (КСЗИ) АСУ ТП.
52
• Предпосылки для проведения аудита: уязвимости, угрозы, инциденты, внутренние требования, законодательство, «что это?»
• Составление ТЗ на проведение аудита - важный этап • Положительная практика проведения аудитов – она существует! • Результаты проведения аудитов могут быть наглядными и объективными
• Компенсирующие меры не обязательно должны быть техническими • Комплесный подход к ИБ АСУ ТП - способ сохранения инвестиций (ИБ АСУ ТП NON-STOP серия 5)
Заключение
Спасибозавнимание!
АлексейКомаров
http://ZLONOV.ru @zlonov
КомпанияУЦСБТел.: +7 (343) 379-98-34
E-mail: [email protected] www.USSC.ru