Решения Fortinet для обеспечения кибербезопасности промышленных систем автоматизации и управления

© Copyright Fortinet Inc. All rights reserved.

Индустриальные решения FortinetАлексей Андрияшин [email protected] +79859996477

mailto:[email protected]

2

Система автоматического регулирования

- автоматическиелиниистанков- системы(дистанционного)телеуправления- регуляторыскоростивращениядвигателя- автопилоты,поддерживающийопределенныйкурс- следящиесистемы(атомныестанции,ГЭС)- системысамонаведения- атомныереакторы,доменныепечи,системы

гидроснабженияиэлектроснабжения

https://www.google.com/imgres?imgurl=http://static5.depositphotos.com/1032921/436/i/950/depositphotos_4368093-Electric-substation.jpg&imgrefurl=http://depositphotos.com/4368093/stock-photo-electric-substation.html&docid=0Z8zb75vhD7ZoM&tbnid=_6psjg-gSJ_VGM:&w=1023&h=685&ei=JtaAVJbGH8-koQSPk4CwAQ&ved=0CAIQxiAwAA&iact=c

https://www.google.com/imgres?imgurl=http://i.ytimg.com/vi/856HPcGWGr4/hqdefault.jpg&imgrefurl=http://www.youtube.com/watch?v=856HPcGWGr4&docid=oqsc5AeKVrvufM&tbnid=EaOBU09EVeWLUM:&w=480&h=360&ei=p9aAVJbNBYbVoATapYGYAQ&ved=0CAIQxiAwAA&iact=c

3

Терминология принятая в АСУТПIndustrial Сontrol System (ICS) – системы управления, включая системы диспетчерского управления и сбора данных (SCADA), распределённые системы управления (DCS) и другие виды систем управления.

SCADA – системы диспетчерского управления и сбора данных PLC – контроллеры – устройства, контролирующие промышленные процессы и оборудование

DCS – распределенные системы управления промышленными объектами

HMI – человеко-машинный интерфейс для наблюдения, управления и изменения заданных значений, алгоритмов, регулирования и установки параметров контроллера RTU – устройство связи с объектом

4

Пример построения АСУТП

• повышение уровня надежности и безопасности работы оборудования;

• снижение вероятности возникновения аварийных ситуаций;

• осуществление оперативного мониторинга и диагностики, прогнозирования вероятных аварийных ситуаций и определения остаточного ресурса оборудования;

• создание единого человеко-машинного интерфейса • повышение уровня экономической эффективности

эксплуатации; • сокращение времени простоя оборудования при

аварийных отключениях за счет повышения информативности о месте и характере дефекта.

Цели применения системы

5

SCADA – общие принципы

6

Проблемы безопасности в АСУТП▪ Большое количество «собственных» разработок при создании АСУ ТП ▪ Закрытость систем:

» расчет на доверенную среду исполнения » специализированные протоколы » отсутствие ревизий кода » при разработке не учитываются лучшие практики разработки безопасного кода

▪ Открытые стандарты » Новое поколение решений использует открытые стандарты при устаревших (или полном отсутствии) требованиях к ИБ

▪ Производительность » работа в реальном времени исключает критична к задержкам трафика и влияния на технологический процесс

▪ Фиксированные конфигурации » отсутствие возможности своевременного обновления ПО » сложности при использовании стороннего ПО для повышения безопасности » Использование паролей «по умолчанию»

Консервативный подход к проблемам безопасности Технологическая информация не является основным объектом защиты

7

Нормативная база защиты критически важных объектов Руководящие документы ФСТЭК по защите ключевых систем информационной инфраструктуры

Ключевая система информационной инфраструктуры (КСИИ)

Это информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация, или будут нарушены выполняемые системой функции управления со значительными негативными последствиями

Следующие руководящие документы ФСТЭК России по защите КСИИ распространяются под грифом ДСП только среди лицензиатов:

1."Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007) 2."Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007) 3."Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007) 4."Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 19.11.2007) 5."Положение о Реестре ключевых систем информационной инфраструктуры" (утв. приказом ФСТЭК России от 04.03.2009)

Для следующего документа установлен гриф "секретно": "Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий" (утв. Секретарем Совета Безопасности от 08.11.2005)

8

Источники угроз в АСУТП

▪ Внешние источники » Системы SCADA часто взаимосвязаны с другими системами SCADA и RTUs через публичные сети

» Атаки часто направлены именно на SCADA ▪ Внутренние источники

» Вирусы попадают в SCADA через портативные устройства » Промышленный шпионаж » Общий доступ к файлам, P2P и социальные сети » На терминалах HMI отсутствуют AV-решения » Ноутбуки инженеров в сети

▪ Беспроводные сети » Wi-Fi или 3G устройства в сети » “Мошеннические” точки доступа использующие корпоративный SSID » Отсутствие систем защиты RTU

9

Анализ рисков – идеальная картина

Риск = Угроза x Уязвимость x Влияние Medium = High x Low x High

10

Риск = Угроза x Уязвимость x Влияние Very High = High x High x High

Анализ рисков – реальная картина

11

Основные направления защиты АСУТП

▪ Контроль входящего и исходящего трафика ▪ Контроль приложений ▪ Контроль трафика внутри сети ▪ Контроль доступа к SCADA ▪ Выявление аномальной активности ▪ Реализация методов проактивной защиты ▪ Постоянный мониторинг сети

12

Индустриальные решения Fortinet

Промышленное оборудование Надежность в жестких условиях эксплуатации Удовлетворяет промышленным требованиям для работы в тяжелых условиях

EMI Thermal

ЭМИ Незащищенные

устройства может потерпеть неудачу или быть уничтожены, когда

подвергаются воздействию высоких

уровней электромагнитных помех

Температура Широкий диапазон

температур (от -20 до +75 C) рабочей

окружающей среды

Вибрация ✓ Устройства должны выжить

при падении из шкафа для монтажа в стойку

✓ 50G анти-шок и 5-500 Мгц требование по виброзащищенности

✓ Защитные компоненты используются для амортизации устройства

13

Решения Fortinet для защиты индустриальных сетей

FortiGateRugged

FortiSwitch RuggedFortiAP Outdoor Беспроводные точки доступа

WAN

• Канал 1

• Канал 2

• Коммутация • Сегментирование • Питание

(через Ethernet)

Удаленные узлы

Централизованное управление FortiManager FortiAnalyzer

Лаборатория FortiGuard Спутник

Камеры

• UTM • VPN • IC-specific

protections

Глобальная защита от угроз

14

Индустриальные решения Fortinet

Контроль доступа -------------------------- ✓ Unified secured

access: Wired, Wireless & Remote VPN

✓ Firewall, User & device based Policies

✓ End point Control ✓ 2-Factor

Authentication

Предотвращение --------------------------- ✓ IPS ✓ Anti-Malware ✓ Application Control

Обнаружение --------------------------- ✓ Vulnerability

scanning ✓ DB audit & Control

Monitoring ✓ DLP

Соответствие --------------------------- ✓ Log & report ✓ Administration Audit

Trail ✓ Event & Incident

Management

FortiGate FortiAnalyzer FortiManager FortiDBFortiAP FortiClientFortiToken

15

Определение и контроль индустриальных приложений

16

Предотвращение угроз

17

Поддержка на уровне IPS/ Application Control

Поддерживаемые протоколы -------------------------------- ✓ BACnet ✓ DNP3 ✓ Modbus ✓ EtherNet/IP ✓ IEC 60870-6 (TASE 2) /

ICCP ✓ EtherCAT ✓ IEC 60870-5-104 ✓ IEC 61850 ✓ OPC ✓ Elcom

Поддерживаемые приложения и производители ----------------------------------------------------- ✓ 7T Technologies/

Schneider Electric ✓ ABB ✓ ADvantech ✓ Avahi ✓ Broadwin ✓ CoDeSys ✓ Cogent ✓ Control Automation ✓ Datac ✓ GE ✓ Iconics

✓ InduSoft ✓ Intellicom ✓ Measuresoft ✓ Microsys ✓ MOXA ✓ PcVue ✓ Progea ✓ Promotic ✓ RealFlex ✓ Rockwell Automation ✓ RSLogix ✓ Siemens

✓ Sunway ✓ TeeChart ✓ TwinCAT ✓ WellinTech ✓ xArrow

18

FortiGate Rugged 60D/90D/100C • Закрытый корпус, без вентиляторов • Работа при экстремальных температурах (-40 до 75 C) • Стандарты IEC 61850-3, IEEE 1613, Division1 Class 2 Compliant • Integrates wireless, поддержка 3G/4G – модемов

FortiSwitch Rugged 112D-PoE • Выполнено по стандарту IP30, без вентиляторов и движущихся частей

• Работа в экстремальных температурах (-40 до 60 C) • Управление через FortiGate Switch Controller

FortiAP 222C • Поддержка стандартов IEEE 802.11a/b/g/n/ac и работа на частотах

2.4 GHz и 5 GHz • Работа в экстремальных температурах (-40 до 60 C) • FortiGate выступает в роли контроллера

Защищенные устройства Fortinet

19

Дополнительные требования к индустриальному оборудованию

Источники питания ▪ Выполнение различных требований к источникам питания

» Блоки питания AC, DC ▪ Опции по резервированию блоков питания

Монтаж ▪ Монтаж на стандартные DIN направляющие внутри для стоек с индустриальным оборудованием.

▪ Монтаж в серверную стойку ▪ Монтаж на стену

20

FortiGate Rugged-60D

Hardware PerformanceFirewall Throughput (1518/512/64) 1.5 / 1.5 / 1.5 Gbps IPS Throughput 200 Mbps

Firewall Latency 4 µs NGFW Throughput TBA

Concurrent Sessions 500,000 Virtual Domains (Default / Max) 10 / 10

New Sessions/Sec 4,000 Max Number of FortiAPs (Total/Tunnel) 10 / 5

Firewall Policies 5,000 Max Number of FortiTokens 100

IPSec VPN Throughput 1 Gbps Client-to-Gateway IPSec VPN Tunnels 500

SSL-VPN Throughput 30 Mbps Concurrent SSL-VPN Users (Recommended Max) 100

4x GE RJ45 Ports 2x Shared Media Pairs 1x DB9 Serial Port

3

1 2

21

FortiGate Rugged-90D

Hardware PerformanceFirewall Throughput (1518/512/64) 2 Gbps IPS Throughput 1.1 Gbps


Concurrent Sessions 2.5 Million Virtual Domains (Default / Max) 10 / 10


Firewall Policies 5,000 Max Number of FortiTokens 100

IPSec VPN Throughput 84 Mbps Client-to-Gateway IPSec VPN Tunnels 1,000


2x DB9 Serial Interface/Console 2x GE SFP Slots 1x GE RJ45 Bypass Pair 3x GE RJ45 ports

41 2 3 4

22

FortiGate Rugged-100C

Hardware PerformanceFirewall Throughput (1518/512/64) 2000 / 1000 / 180 Mbps IPS Throughput 950 Mbps


Concurrent Sessions 2.5 Mil Virtual Domains (Default / Max) 10 / 10


Firewall Policies 10,000 Max Number of FortiTokens 1,000

IPSec VPN Throughput 60 Mbps Client-to-Gateway IPSec VPN Tunnels 5,000


2x GE RJ45 Interfaces 4x FE Copper Interfaces 4x 100Base-FX Interface (SC)

23

FortiSwitch Rugged 112D-POE

Ruggedized PoE(+) L2 SwitchSpecification

Hardware -40c to 75c, fanless, DIN mounted

Ports 8xPOE+ capable + 4xSFP ports

Power Supply External DC power 44v-57v, redundant inputs

L2 features VLAN support, 802.1Q, 802.1s

Optics Long Reach Optics support(up to 80km)

12

1

2

4 x SFP Ports 8 x GE RJ45 POE+ Ports Redundant DC power inputs

3

3

24

Централизованное управление и отчетность

Управление • Единый интерфейс • Автоматическое профилирование • Ролевой доступ

Отчетность • Централизованный сбор (real-time или по расписанию) и агрегация логов

• Составление отчетов • Мониторинг событий, оповещений о критических событиях

25

Fortinet AP family

3x3:3 Resiliency and

Versatility

Dual Radi

o Dual Ban

d

2x2:2 Performance

Single

Radio1x1:1

Value

Remote Outdoor Indoor

802.11ac

802.11ac

FAP-28C

FAP-14C

FAP-11CFAP-112B

FAP-210B

FAP-223B

FAP-221B

FAP-221C

FAP-320B

FAP-320C

FAP-222C

26

Снижение уровня рисков с помощью решений Fortinet

Risk = Threat x Vulnerability x Impact Low = High x Low x Med

26

Prevent threats entering the organization with stringent boundary controls including Web Filtering, Anti-Virus, Intrusion Prevention and Application Control (FortiGate) and Anti-SPAM (FortiMail)



26

Provide secure remote access (FortiGate) SSL and IPSEC VPN) together with secure remote authentication methods (FortiAuthenticator).



26

Segregate networks and prevent malware propagation with inter-zone Anti-Virus, Intrusion Prevention and Application Control (FortiGate)



26



Secure wireless communication with rogue access point detection and segregating engineers traffic on dedicated SSIDs (FortiGate & FortiAP)

26



Secure SCADA communications with hardware accelerated VPN back to the Management HMI network (FortiGate)

26



Prevent malware propagation and non-authorised communication channels with on-the-wire Anti-Virus, Intrusion Prevention and Application Control (FortiGate)

26



Secure, audit and monitor HMI database (FortiDB)

26



Vulnerability assesment, patch management an auditing of all organizational assets

26



Защита HMI от компрометации с помощью Web Application Firewalling (FortiWeb)

26



27



27




27




27




27




27




27




27




27




27




27



28



28




28




28




28




28




28




28




28




28




28



29



29




29




29




29




29




29




29




29




29




29



30

Комплексная защита индустриальных сетей

▪ Комплексная защита промышленной сети ▪ Интегрированное решение по безопасности включающее в себя:

» IPS » Antivirus » Antispam » Application control » Identity based policies » Web filtering » DB » Stateful firewall » VPN » Wireless » Strong Authentication

▪ Автоматизированный процесс обновлений ▪ Известные уязвимости SCADA в AV/IPS базах

31

Глобальная и локальная Безопасность

App Control Antivirus Anti-spam

IPS Web App Database

Web Filtering

Vulnerability Management

Botnet Mobile Security

Cloud Sandbox

Deep App Control

PartnerFortiWebFortiMailFortiClient FortiGate

Threat Researchers

Threat Intelligence Exchange

Противодействие направленным

атакам

32

Fortinet имеет наилучший уровень сертификации

Description Fortinet Check Point Cisco Palo Alto Networks Juniper FireEye

NSS - Firewall NGFW Recommended Recommended Recommended & Neutral Caution Caution x

NSS - Firewall DC Recommended x x x x x

NSS - Breach Detection Recommended x Recommended x x Caution

NSS - WAF Recommended x x x x x

NSS – Next Gen IPS Recommended x Recommended Neutral x x

NSS - IPS (DC) Neutral ✔ x x Caution x

BreakingPoint Resiliency Record High - 95 x x Poor - 53 x x

ICSA ATD (Sandbox) ✔ ✔ x ✔ x x

ICSA Network Firewall ✔ ✔ x ✔ ✔ x

ICSA Network IPS ✔ ✔ x x x x

ICSA Antivirus ✔ x x x x x

ICSA WAF ✔ x x x x x

VB 100 ✔ Caution x x x x

AV Comparative ✔ x x x x x

Common Criteria ✔ ✔ ✔ ✔ ✔ ✔

FIPS ✔ ✔ ✔ ✔ ✔ ✔

33

Сертификация от NSS Labs

Product 2012 2013 2014 2015 2016

Breach Detection Recommended Recommended

Data Center IPS Neutral

Firewall Recommended

NGFW Neutral Recommended Recommended Recommended

IPS Recommended Neutral

WAF Recommended

NGIPS Recommended

Endpoint Protection Recommended

$100 $80 $60 $40 $20 $0

100%

80%

70%

60%

50%

40%

90%

Products Tested

Next Generation Firewall (NGFW) Security Value MapTM

TCO per Protected Mbps

Aver

age

Average

Sec

urity

Effe

ctiv

enes

s

Cyberoam

Juniper

Febr

uary

201

6

Cisco ASA

WatchGuard

NSS Labs Rating

Palo Alto Networks

Forcepoint

Barracuda

Cisco FirePOWER

Dell SonicWALL

Check Point

Huawei

HillstoneFortinet

34

Будьте бдительны!

Technology

Решения Fortinet для обеспечения кибербезопасности промышленных систем автоматизации и управления