Практика проведения аудитов информационной безопасности систем автоматизации и управления

Николай ДомуховскийГлавный инженер ДСИ

ООО «УЦСБ»

Практика проведения аудитов информационной безопасности систем автоматизации и управления

Зачем заказывают аудит ИБ АСУ ТП?

2 из 14

оценка текущего уровня защищенности АСУ ТП

ущерб уязвимости

угрозы

контроль защ

ищенно

сти

доступ из смежных сетей идентификация объектов защитыклассификация

Что такое

АСУ ТП?уязвимостиклассификация

угрозыконтроль защищенности

ущерб

ущерб

ущербугрозы

Основные этапы аудита

3 из 14

Сбор данных

Тестирование на проникновение

Моделирование угроз

Представление результатов

Сбор данных

4 из 14

задачи

Анализ документации

кого опрашивать?

проекта нет или утерян

нельзя использовать стороннее ПО

Оператор

Имя: Иван ИвановГод рождения: 1975Образование: среднее

Инженер КИПиА

Имя: Петр ИвановГод рождения: 1980Образование: высшее

• Технологический регламент• Инструкции персонала• Осмотр и документирование

• Встроенные средства системного и прикладного ПО

Тестирование на проникновение

5 из 14

задачи

1. Разработка Программы и выбор инструментов

2. Проникновение в защищаемый сегмент

3. Демонстрацияатак на стенде

разработчика

......

К вышестоящим и смежным системам

Пульт управления Шкаф АРМ

Шкаф серверный

Серверное оборудование

АРМ оператора




Принтер

Операторная

Аппаратная

Цеховой ПЛК

Шкаф САУиР КЦ

Промплащадка КЦ

ПЛК САУ ГПАПЛК САУ ГПА ПЛК Локальных САУ

...

Блок-боксБлок-бокс автоматики ГПА

Блок-бокс автоматики ГПА

ГПА ГПА Технологическое оборудование КЦ

Сегмент ПКУ КЦ

Сегмент нижнего уровня

Сегмент подключения

вышестоящих и смежных

сиситем

Коммуникационный сервер

Сетевое оборудование сети передачи данных ПКУ КЦ

Сетевое оборудование промышленной сети передачи данных

Контролируемая зонаУсловные обозначения:

– технологическое оборудование

– Запираемый шкаф (блок-бокс)

– границы помещения

– границы контролируемой зоны

– пульт управления

– Взаимодействие с технологическим оборудованием

– Каналы связи, построенные по технологии Ethernet

– Терминальная линия связи

– Каналы связи технологической сети передачи данных (Ethernet или последовательные линии связи)

Сервисный компьютер

6 из 14

Моделирование угроз

Модель нарушителя

Сценарии реализации

Оценка ущерба

7 из 14

Модель нарушителяКонтролируемая зона

Пост контроля и управления


Оператор

Сервисныеорганизации

Преступныеэлементы

Пользователи смежныхсистем

Обслуживающийперсонал САУ

Подрядныеорганизации

Администраторы смежныхсистем

8 из 14

Сценарии реализации

Несанкционированное подключение съемного

носителя

Заражение вредоносным ПО

Отказ функции управления

Атака на отказ в обслуживании ПЛК

НСД в технологическую сеть

Аварийный останов

Установка постороннего ПО на АРМ оператора

9 из 14

Оценка ущерба

ИБ

ПБ

10 из 14

Представление результатов

......







Принтер

ПЛК

Промплащадка

ПЛКПЛК ПЛК

ТОУ ТОУ ТОУ ТОУСегмент ПКУ




сиситем


Сетевое оборудование сети передачи данных ПКУ


......









Принтер



ПЛК

Блок-бокс


ПЛКПЛК ПЛК

Блок-боксБлок-боксБлок-бокс





сиситем




Контролируемая зона

......









Принтер



ПЛК

Блок-бокс


ПЛКПЛК ПЛК






сиситем





Передача параметров ТП

Прямое управление

ТОУ


ТОУ


ТОУ

Передача параметров ТПВышестоящим и смежным

системам

Сбор параметров

ТОУСбор

параметров ТОУ


ТОУ


ТОУ

Передача уставок


Визуализация информации о ходе ТП


Передача производственных

задач

......









Принтер



ПЛК

Блок-бокс


ПЛКПЛК ПЛК






сиситем





Передача параметров ТП


ТОУ


ТОУ


ТОУ

Передача параметров ТПВышестоящим и смежным

системам


ТОУСбор

параметров ТОУ


ТОУ


ТОУ





Передача производственных

задач

Реализация сетевой атаки

Сетевой НСД

Сетевой НСД

Подключение стороннего устройства

Подключение съемного носителя

Подключение съемного носителя

Атака на отказ в обслуживании








Нарушение работы системы



Схема структурная

11 из 14

......









Принтер



ПЛК

Блок-бокс


ПЛКПЛК ПЛК


ТОУ ТОУ ТОУ ТОУ

Сегмент ПКУ




сиситем





Схема функциональная

12 из 14

Сервер SCADA

ПЛК

ТОУ

АРМ оператораВышестоящие и

смежные системы

– производственные задачи

– параметры ТП

– команды управления ТП

– уставки

– параметры ТОУ

– прямое управление ТОУ

Визуализация сценариев реализации угроз ИБ

13 из 14

Нарушителем выполняется подключение собственной рабочей станции к ЛВС смежной системы.Нарушителем выполняется сканирование ЛВС.Нарушителей обнаруживает СУБД на сервере смежной системы с уязвимостью, позволяющей выполнять произвольный код

Нарушителем выполняется эксплуатация уязвимости для создания учетной записи пользователя ОС.Нарушителем выполняется получение данных учетных записей ОС сервера. В результате нарушителем получены данные учетной записи Администратора ОС

С использованием полученной учетной записи Администратора ОС получен доступ к коммуникационному серверу с двумя сетевыми интерфейсами подключенными к ЛВС смежной системы и АСУ ТП.

Выполнение сканирования ЛВС АСУ ТП для идентификации компонентов АСУ ТП

Получение доступа с правами Администратора ОС к АРМ и серверам АСУ ТП с возможностью влияния на технологический процесс


ПЛК ПЛК

Станция нарушителяАРМ Оператора АРМ Оператора

Сервер СУБД

Внешний нарушитель

Коммутационное оборудование смежной системы

Коммутационное оборудование

АСУ ТП

1 2

34

5

Благодарю за внимание!

Николай ДомуховскийООО «УЦСБ»620100, Екатеринбург, ул. Ткачей, д.6Тел.: +7 (343) 379-98-34Факс: +7 (343) 382-05-[email protected]

Technology

Практика проведения аудитов информационной безопасности систем автоматизации и управления