Защита АСУ ТП средствами Cisco IPS

Информационный документ

© Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 1 из 5

Защита АСУ ТП средствами Cisco IPS

Защита АСУ ТП: что должен знать каждый заказчик

Предлагая системы предотвращения вторжений (IPS), Cisco предоставляет заказчикам эффективную защиту систем

АСУ ТП. Защита АСУ ТП – это узкоспециализированная отрасль сетевой безопасности, в которой последствия

отказов и сбоев могут быть критическими, а иногда и катастрофическими. Теперь решения Cisco® IPS поддерживают

лицензируемый набор сигнатур, подготовленных специалистами в области безопасности АСУ ТП для контроля и

надежной защиты этих критически важных систем промышленных предприятий, предприятий ТЭК и т.д.

Обзор систем предотвращения вторжений (IPS)

Сенсоры Cisco IPS обеспечивают высокоэффективное интеллектуальное обнаружение вторжений и точно

выверенную реакцию на атаки, позволяя реализовать функциональность IPS как на периметре сети, так и в центре

обработки данных, построенных на базе протокола IP 4-й и 6-й версии.

Технология интеллектуального обнаружения

Сенсоры Cisco IPS точно идентифицируют, классифицируют и останавливают вредоносный трафик, прежде чем он

сможет стать причиной ущерба технологическим и бизнес-процессам.

● Технология Cisco IPS направлена на предотвращение вредоносной активности на протяжении всего

жизненного цикла атак и на всех уровнях стека протоколов.

● Модульные средства анализа трафика, основанные на разработанных Cisco инновационных технологиях

обеспечения безопасности и интеллектуальных механизмах, способны обнаруживать и предотвращать угрозы

для всех уровней стека протоколов, от протокола ARP до сложных приложений корпоративного уровня.

Технология Cisco IPS позволяет защититься от самых современных методов обхода систем предотвращения

вторжения и может нормализовать даже самый фрагментированный сетевой трафик.

● Технология Cisco IPS обеспечивает адаптивное обнаружение аномалий и фактов использования различных

уязвимостей. Cisco сконцентрировала свои усилия на создании сигнатур, позволяющих точно обнаруживать

попытки использования потенциальных уязвимостей, поэтому возможность обнаруживать угрозы сохраняется

на том же высоком уровне даже при изменении вредоносного кода или эксплойтов. Для защиты от

совершенно новых атак («zero-day») сенсор Cisco IPS собирает информацию о сети, обнаруживает аномалии

протоколов и поведения, после чего нейтрализует атаки без необходимости обновления сигнатур.

● С появлением технологии глобальной корреляции Cisco стала инициатором использования в отрасли IPS

репутационных механизмов. Глобальная информация об угрозах преобразуется в сведения для принятия

решений (например, в виде показателей репутации) и может также использоваться для формирования

«черных списков» и инициирования динамической реакции на угрозу.


Защита АСУ ТП

Автоматизированная система управления технологическими процессами (АСУ ТП) – это термин, обозначающий

нескольких типов систем управления, используемых в критически важных инфраструктурах и в промышленном

секторе, включая системы диспетчерского управления и сбора данных (SCADA), системы управления

технологическими процессами (PCS) и другие, менее крупные системы управления, например построенные на базе

программируемых логических контроллеров (PLC).

● Количество угроз и уязвимостей АСУ ТП постоянно растет. В течение последних 10 лет наблюдался

значительный рост количества угроз, уязвимостей и кибер-атак на промышленные объекты, использующие АСУ ТП.

● Уровень доступности АСУ ТП возрос. С появлением технологий «готового продукта для потребительского

сектора» (COTS) и расширением взаимосвязей между АСУ ТП и ИТ-инфраструктурами предприятий, системы

АСУ ТП стали доступными и уязвимыми перед типовыми и широко распространенными угрозами, ранее не

попадавшими в физически изолированные сегменты АСУ ТП.

● Установка обновлений системного и прикладного ПО – трудный и дорогостоящий процесс. Внесение

исправлений связано со снижением производительности или остановкой работы системы, либо может повлечь

непредусмотренные последствия, в результате которых производственные процессы будут нарушены, а бизнес

будет терять деньги. На практике АСУ ТП могут эксплуатироваться без внесения исправлений в течение

длительного времени, при этом в производственных системах остаются давно известные уязвимости.

Рисунок 1. Количество публично раскрытых уязвимостей в системах АСУ ТП по данным CERT

Июль-декабрь *(ожидается)Январь-июнь Июль-декабрь Январь-июнь

Статистические данные из архива сводок и отчетов по системам управления Программы безопасности системам управления

(CSSP) US-CERT, 7 июля 2011 г.

Рисунок 2. Категории уязвимостей, выявленных в АСУ ТП

47 % Неадекватная проверка достоверности входных данных

18 % Управление разрешениями, полномочиями и доступом

11 % Неправильная аутентификация

8 % Недостаточный контроль подлинности данных

8 % Низкое качество программного кода

5 % Настройка и обслуживание систем безопасности

3 % Управление учетными записями

Статистические данные из отчета US-CERT «Common Cybersecurity Vulnerabilities in Industrial Control Systems» (Распространенные

уязвимости АСУ ТП в аспекте информационной безопасности), 7 июля 2011 г.


Приоритетные направления

Промышленное оборудование и системы управления, используемые в разных отраслях, различаются, однако имеют

некоторые общие черты. Широко используемые в сфере производства протоколы могут скрывать в себе типовые

уязвимости, в то время как некоторые поставщики таких продуктов могут в значительной степени поддерживать

проприетарность или предлагать уникальную реализацию стандартизованных продуктов. Результатом этого

является необходимость обеспечивать защиту как специфических для отрасли, так и общепринятых платформ и

протоколов.

Предлагаемый Cisco начальный набор сигнатур для защиты АСУ ТП включает комбинацию средств обнаружения

для широко распространенных протоколов, используемых в АСУ ТП, и специфические шаблоны атак,

ориентированных на инструментальные средства и среды, применяемые в нефтегазовой отрасли. Набор этих

сигнатур будет постоянно расширяться – Cisco будет продолжать формировать сигнатуры для защиты общих

протоколов АСУ ТП, а также дополнительной защиты систем для нефтегазовой отрасли. Кроме того,

специализированные пакеты сигнатур и шаблонов обнаружения атак будут ориентированы на другие отрасли,

в частности, предприятия коммунального хозяйства, производство, транспорт и добычу природных ресурсов.

Как показано на рис. 3, корректность размещения сенсора IPS в сети предприятия или сети АСУ ТП является

критически важным фактором для защиты промышленных систем в рамках ИТ-инфраструктуры.

Рисунок 3. Сценарии защиты АСУ ТП средствами Cisco IPS

Лицензирование и готовность

Предлагаемый Cisco комплект сигнатур для защиты АСУ ТП лицензируется на уровне отдельных устройств

и поставляется в рамках существующей системы обновления сигнатур. Заказчики могут приобрести лицензию для

конкретной платформы и получать специализированные обновления при наличии действующего контракта на

поддержку сенсоров IPS. Для получения более подробных сведений обращайтесь к представителю Cisco.

HART Fieldbus PRQFI BUS Serial RS485 OPC

Корпоративная сеть Корпоративная сеть

Сеть АСУ ТПверхнего уровня

Рабочие местаEnterprise

Optimization Suite Серверстороннихприложений

Мобильныйоператор

Сеть контроллеров

Сеть Серверсоединений

СерверHistorian

Серверприложений

Рабочееместо

инженера

Serial OPCили Fieldbus Сеть уровня

датчиков и исп. механизмов

Сторонниеконтроллеры,серверы и т. д.

Резервирование


Защита посредством сигнатур

Ниже приведены примеры протоколов и угроз, охваченные в рамках предлагаемого Cisco набора сигнатур для

защиты систем АСУ ТП.

Системы: SCADA, DCS, PLC, SIS, RTU, EMS.

Основные производители АСУ ТП, для которых разработаны сигнатуры: Schneider, Siemens, Rockwell, GE, ABB,

Yokogawa, Motorola, Emerson, Invensys, Honeywell, SEL.

Угрозы и защита: известные уязвимости, обеспечение выполнения политики, нормализация трафика протоколов.

Информация для заказа

В таблице 1 содержится информация для заказа сигнатур Cisco IPS SCADA.

Таблица 1. Информация для заказа

Номер по каталогу (P/N) Целевая платформа

L-ASA5510-SCA= ASA5510–AIP10, ASA5510–AIP20,

L-ASA5520-SCA= ASA5520–AIP10, ASA5520–AIP20, ASA5520–AIP40

L-ASA5540-SCA= ASA5540–AIP20, ASA5540–AIP40

L-ASA5585-10-SCA= ASA5585–SSP10




L-ASA-AIP5-SCADA= ASA 5505

L-IPS-4240-SCADA= IPS 4240




L-IPS-IDSM2-SCADA= IDSM-2

Требования к версии программного обеспечения

Для корректной работы сигнатур Cisco для защиты АСУ ТП необходимо, чтобы версия программного обеспечения

для целевых платформ, перечисленных в таблице 1, поддерживала ядро сигнатур E4. Поддержка Е4 реализована

в версии программного обеспечения Cisco IPS 7.0 и более поздних версиях.

Услуги Cisco по поддержке IPS

Услуги Cisco по поддержке IPS (Cisco Services for IPS) представляют собой комплексный сервис безопасности и

являются неотъемлемой частью решений Cisco IPS, позволяя заказчикам получать критические по времени

обновления файлов сигнатур и различные оповещения. Будучи частью портфеля услуг технической поддержки

Cisco, услуги Cisco по поддержке IPS позволяют обеспечить актуальное состояние системы Cisco IPS для борьбы

с самыми последними угрозами за счет точной идентификации, классификации и запрета вредоносного трафика.

В контексте защиты АСУ ТП важно отметить, что единственным средством получения доступа к сигнатурам Cisco

для защиты АСУ ТП является наличие действующего контракта на услуги Cisco по поддержке IPS, связанного с

целевой платформой системы предотвращения вторжений.

Для получения дополнительных сведений об услугах Cisco по поддержке IPS, посетите web-страницу

http://www.cisco.com/en/US/products/ps6498/index.html.


Technology

Защита АСУ ТП средствами Cisco IPS