Upload
expolink
View
673
Download
3
Embed Size (px)
Citation preview
Решения для ИБ АСУ ТП
Алексей Комаров Менеджер по развитию решений
Уральский Центр Систем БезопасностиЧелябинск 22 сентября 2016 года
• Типичные инциденты ИБ в АСУ ТП и их причины
• Выбор стратегии защиты • Решения по обеспечению ИБ АСУ ТП
• Классы решений • Экспресс-обзор рынка решений по мониторингу ИБ АСУ ТП
• Комплексный подход к ИБ АСУ ТП
Содержание
Наш опыт в ИБ АСУ ТП
• Разработка корпоративных стандартов • Аудиты действующих АСУ ТП • Проектирование СОИБ АСУ ТП • Ввод в эксплуатацию и поддержка систем обеспечения ИБ АСУ ТП • Разработка собственного решения - DATAPK
3
Число инцидентов по годам• В 2015 инцидентов ИБ АСУ ТП зафиксировано на 15% больше, чем в любом из прошлых лет. Рост год к году составил 20%.
• Из 314 опрошенных компаний-владельцев АСУ ТП в 2015 году • 34% подтвердили, что сталкивались с инцидентами более двух раз за последний год,
• из них 44% не смогли определить источник атаки.
4источники: ICS-CERT, SANS
5источники: ICS-CERT, Booz Allen
Примеры инцидентов и их последствия
В АСУ ТП происходят инциденты ИБ
6
Дата Страна Инцидент
дек 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод.
июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы.
фев 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища.
март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании.
июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы
июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера
сент 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
дек 2015 США Иранские хакеры атаковали дамбу в Нью-Йорке
дек 2015 Украина Замминистра энергетики США обвинила Россию в организации блэкаута на Украине
март 2016 Япония Хакеры случайно получили доступ к SCADA-системе водоочистной станции и ради интереса изменили ее настройки
апр 2016 Германия На компьютерах германской АЭС нашли малварь
Некоторые инциденты ИБ АСУ ТП, источники: СМИhttp://ZLONOV.ru (ИБ АСУ ТП -> инциденты)
Типичные инциденты ИБ в АСУ ТП и их причины• Халатность • Направленные атаки • Хищение
Что может случиться на практике?• Халатность
• Подключение внешних устройств (носители информации, модемы и пр.)
• Подключение сторонних СВТ (свой ноутбук для игр) • Направленные атаки
• Шпионаж • Саботаж
• Хищение • Сырья, готовой продукции • Ресурса производственной линии (изготовление неучтенной продукции)
8
Халатность
9
НаладчикрешилбыстренькопочитатьсправкупоSCADA вИнтернете
Операторрешилпосмотретьфотографиисотпуска
Подключениесъемногоносителя
ЗаражениевредоноснымПО
НарушениеработыСВТ
Блокированиедоступак
СВТ/информации
Подключение3G-модема
АтаканаСВТсцельювключенияв
ботсеть
НарушениеработыЛВС
10
11
12
Направленная атака на АСУ ТП
13
Реализация«классической»
угрозыИБ
ВнесениеизмененийвработуАСУТП
НекорректнаяреализацияТП
ИБ
ПБ
Объектатаки:• АРМ,серверы,АСО• ОбщееПО
Цельатаки:• Закрепитьсявзащищаемом
периметре
Объектатаки:• ПЛК• СпециальноеПО
Цельатаки:• Получениевозможности
манипуляцииТП
Объектатаки:• ТОУ
Цельатаки:• НарушениереализацииТП• Порчаоборудования
Хищение
14
ВнесениеизмененийвработуАСУТП
Некорректныйучетресурсов
Объектатаки:• ПЛК• СпециальноеПО
Цельатаки:• Получениевозможности
манипуляцииТП
Объектатаки:• ТОУ
Цельатаки:• НарушениереализацииТП• Порчаоборудования
Выбор стратегии защиты• Временной вектор атаки • Выбор стратегии защиты • Жизненный цикл АСУ ТП • Факторы и мероприятия ИБ • Модель защиты АСУ ТП
Временной вектор атаки
16
Подготовка Реализация Нанесениеущерба
Проактивная защита Активнаязащита Реактивнаязащита
В традиционных системах все 3 стадии могут проходить за считанные секунды, в АСУ ТП –
могут длиться годы
Выбор стратегии защиты
17
Проактивная защита Активнаязащита Реактивнаязащита
Цельстратегии:� Недатьпроизойти
инцидентуСпособдостижения:� Блокировка
нежелательныхизмененийсостояниясистемы
Цельстратегии:� Выявитьатакувходе
реализацииСпособдостижения:� Анализ состояний
системысцельювыявленияподозрительныхизменений
Цельстратегии:� Минимизироватьущерб
отреализацииинцидента
Способдостижения:� Возврат системыв
целевоесостояние
Жизненный цикл АСУ ТП
• Упрощённо жизненный цикл АСУ ТП можно представить в виде четырёх основных этапов:
• Отдельно нужно рассматривать этап модернизации, когда система фактически проходит упрощённый вариант подцикла Проектирование - Создание - Эксплуатация.
18
Жизненный цикл СОИБ
• Система обеспечения информационной безопасности (СОИБ) точно также проходит соответствующие этапы жизненного цикла:
• в идеальном случае этапы жизненного цикла СОИБ по времени совпадают с этапами жизненного цикла самой АСУ ТП
19
Особенности этапа эксплуатации АСУ ТП• Самая протяжённая во времени стадия жизненного цикла • АСУ ТП не является неизменной:
• изменение конфигураций компонентов АСУ ТП,
• обновление программного обеспечения, • замена компонентов, вышедших из строя и т.п.
• Может поменяться перечень актуальных угроз • выявления в компонентах АСУ ТП новых уязвимостей
• Могут модифицироваться сами требования обеспечения ИБ • изменения законодательных или отраслевых требований, • пересмотр корпоративной политики
20
Факторы и мероприятия ИБ
21
Факторы Мероприятия ИБ
Изменение компонентов АСУ ТП и/или их конфигураций
• Инвентаризация компонентов АСУ ТП• Контроль конфигураций компонентов АСУ ТП
• Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП
Возникновение новых уязвимостей
• Контроль защищённости компонентов АСУ ТП
• Обнаружение компьютерных атакИзменение требований по обеспечению ИБ
• Контроль соответствия требованиям по обеспечению ИБ
Проектирование ИБ АСУ ТП
• Какие решения выбрать? • Оценка влияния на АСУ ТП? • Одобрение производителей АСУ ТП?
• Бюджет?
22
Внедрение/сопровождение ИБ АСУ ТП
• Основания для модернизации/подключения? • Как проводить приёмо-сдаточные испытания? • Кто отвечает за эксплуатацию?
• Кто несёт ответственность? • Какие гарантии? • Срок гарантии?
23
Оптимальный (?) вариант
• Поставка решений по ИБ в составе самих АСУ ТП • ИБ - встроенный функционал • Единая гарантия и пр.
• НО! • Только для новых/модернизируемых систем
24
Модель защиты АСУ ТП
25
Смежнаясистема
Односторонний(псевдоодносторонний)каналсвязи
Непрерывныймониторинготклонений
Довереннаясистема• КонтрольцелостностиПОи
конфигурации(программной иаппаратной)
• Контрольинформационныхпотоков• Отсутствиеинструментоввнесения
изменений(втомчисле,вконфигурации)
Решения по обеспечению ИБ АСУ ТП• Классы решений • Экспресс-обзор отечественных решений по мониторингу ИБ АСУ ТП
• Возможности комплексного решения по реализации концепции непрерывного мониторинга состояния ИБ
Классы решений в области ИБ АСУ ТП• Средства мониторинга• Сканеры защищённости • Однонаправленные диоды
• Промышленные межсетевые экраны • Криптографические модули и СКЗИ • Специализированные СЗИ от НСД*
27* - формально они существуют, но на практике почти не применяются
Решения по мониторингу ИБ АСУ ТП
28
InfoWatch ASAP
• Состав решения: • InfoWatch ASAP
• Основные функции решения: • Выявление несанкционированных подключений к каналам связи АСУ ТП
• Поиск аномалий протекания ТП
• Особенности решения: • Устанавливается в разрыв каналов связи (в том числе полевого уровня)
29
Positive Technologies ISIM• Состав решения:
• PT ISIM
• PT MaxPatrol
• Основные функции решения: • Сбор, анализ, корреляция событий ИБ • Визуализация атак • Поиск уязвимостей • Контроль конфигураций на соответствие требованиям по ИБ
• Особенности решения: • Работа в пассивном режиме (PT ISIM)
30
Kaspersky Industrial CyberSecurity• Состав решения:
• KICS4Nodes
• KICS4Networks
• Основные функции решения: • Контроль приложений и съемных устройств на СВТ под управлением ОС Windows
• Анализ сетевого трафика, направленного на ПЛК
• Особенности решения: • Требует установки агентов на СВТ (KICS4Nodes)
• Работа в пассивном режиме (KICS4Networks)
31
DATAPK• Состав решения:
• ПАК DATAPK
• Основные функции решения: • Ведение каталога ОЗ, выявление изменений в составе ОЗ • Анализ сетевых потоков • Сбор, анализ, корреляция событий ИБ • Поиск уязвимостей, контроль соответствия требованиям
• Управление конфигурацией ОЗ
• Особенности решения: • Работа в пассивном режиме
32
Функции системы мониторинга (пример)
• Инвентаризация компонентов АСУ ТП • Контроль конфигураций компонентов АСУ ТП • Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП • Контроль защищённости компонентов АСУ ТП • Обнаружение компьютерных атак • Контроль соответствия требованиям по обеспечению ИБ
33
Функциональная структура системы мониторинга (пример)
34
Каталогобъектовзащиты
Модульсбора ианализасобытийИБ
КаталогтребованийпоИБ
МодульуправленияконфигурациейОЗ
Модульоценкисоответствия
ипоискауязвимостей
Каталогуязвимостей
ЖурналсобытийИБ
МодульобеспеченияИБ
Комплексный подход к ИБ АСУ ТП• Построение комплексного решения • Безопасность – процесс, а не продукт
Построение комплексного решения• Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии
36
Приказ ФСТЭК России от 14.03.2014 №31
КСПД
Построение комплексного решения• Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии
37
Приказ ФСТЭК России от 14.03.2014 №31
КСПД
Построение комплексного решения
38
РазработкатиповойархитектурысистемызащитыдляклассаАСУ(САУ,
АСДУ,АСУЭипр.)
РазработкастандартабезопасностиотдельныхкомпонентовАСУ(ОС,
SCADA,АСО,ПЛК)
Разработкамероприятийпореализациистандартабезопасности:безопаснаяконфигурация,порядок
использования,внешниеСрЗИ
Унификац
ияп
одходов
Автоматизация
методовко
нтроля
Безопасность – процесс, а не продукт
39
УправлениеИБ
Подготовка,планирование Проектирование
Вводвдействие,модернизация
Постояннаяэксплуатация
Аудит
Консалтинг
Моделирование,подборрешений Разработка
архитектуры
Разработкапроектнойдокументации
Обучение
РазработкапакетаОРД
Инсталляция
Оценкасоответствия
Сопровождение
Техническоеобслуживание
Спасибо за внимание!
Алексей Комаров
http://ZLONOV.ru @zlonov
Компания УЦСБТел.: +7 (343) 379-98-34
E-mail: [email protected] www.USSC.ru