Проблемы обеспечения безопасности технологических се...
Download
1 / 35

Проблемы обеспечения безопасности технологических сетей - PowerPoint PPT Presentation


  • 151 Views
  • Uploaded on

Проблемы обеспечения безопасности технологических сетей. Игорь Кораблев Р уководитель направления защиты промышленных систем ЗАО «ЛАНИТ». Отдел информационной безопасности ЛАНИТ. Широкая компетенция и высокая квалификация. 32 сертификата высшего образца.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Проблемы обеспечения безопасности технологических сетей' - flynn


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

Проблемы обеспечения безопасности технологических сетей

Игорь Кораблев

Руководитель направления

защиты промышленных систем

ЗАО «ЛАНИТ»


Отдел информационной безопасности ЛАНИТ

Широкая компетенция и высокая квалификация

32 сертификата высшего образца

47 сертификатов о повышении квалификации в направлении ИБ


Статусы ЛАНИТ безопасности ЛАНИТ

Gold Certified Partner, LAR, Application Integration Partner

Gold Partner

Gold Preferred Partner

Premier Business Partner

Bronze Partner

TrueNorth Gold Solutions Partner

Platinum Partner

Affiliate Partner

Gold Partner

Enterprise Partner

Novell Silver Partner

Elite Data Center Partner

Registered Partner

Gold Solution Advisor

Gold Certified Partner

Premier System Partner

Authorised Reseller

Platinum Partner

Enterprise Solution Provider

Power Solution Provider

Авторизованный партнер

SelectPartner

Authorized Partner

GoldPartner


Информационная безопасность АСУТП

  • Промышленные катастрофы

    • Саяно-Шушенская ГЭС

    • Взрыв нефтяной платформы DeepwaterHorizon

    • Авария на АЭС Фукусима-1

    • Завод по переработке урана в Натанзе (Иран)

  • Угроза жизни людей и окружающей среде

  • Высокая степень автоматизации технологических процессов


Уровни технологической сети АСУТП

ERP

Корпоративные системы

MES

Управление производством

SCADA

HMI, Industrial DB, OPC-сервер, АРМ инженера

PLC

PLC,MTU/RTU

Исполнительные устройства, датчики

Devices


Реалии АСУТП АСУТП

  • Закрытые разработки

  • Обособленные решения под задачу

  • Созданы по индивидуальному проекту

  • Используют специализированное оборудование и ПО

  • Рассчитаны на длительный срок эксплуатации

  • Разрабатывались БЕЗ учета требований по ИБ


Тенденции развития АСУТП АСУТП

  • Распространение IP-технологий внутрь промышленной сети

  • Интеграция корпоративных систем (ERP и MES) и АСУТП

  • Стандартизация и унификация решений по автоматизации

  • Использование стандартных программных и аппаратных платформ

  • Повышенный интерес специалистов к проблеме безопасности технологических сетей


Технологическая сеть и корпоративная сеть

  • Исчезновение технологических и архитектурных отличий

  • Стирание границы между сетями

  • Централизация управления

  • Использование единой системы каналов передачи данных


Мифы о безопасности корпоративная сетьАСУТП

  • Технологическая сеть изолирована

  • Технологическая сеть построена на специальных программно-аппаратных средствах и не подвержена стандартным угрозам

  • Резервирование и ПАЗ обеспечат необходимый уровень отказоустойчивости

  • Межсетевого экрана достаточно


Миф первый корпоративная сетьИзолирование технологической сети

  • Ограниченные возможности по интеграции

  • Ложное чувство защищенности

  • Неверная оценка рисков ИБ

  • Проблемы обновления ПО

  • Возникновение скрытых каналов

Технологическая сеть беззащитна


Миф второй корпоративная сетьСпециальное оборудование и ПО

  • Проектировалось для идеальных условий

  • Безопасность через незнание

  • Нет запаса для реализаций функций ИБ

  • Ограниченные возможности интеграции средств защиты

Технологическая сеть беззащитна


Миф третий корпоративная сетьПротивоаварийная защита

  • Борьба с последствиями

  • Защита от локальных сбоев

  • Опирается на данные, которые можно подделать

  • Нет централизованной корреляции данных мониторинга всей технологической сети

Технологическая сеть беззащитна


Миф четвертый корпоративная сетьМежсетевой экран

  • Устаревшая технология

  • Нет поддержки специализированных протоколов

  • Находится на пересечении зон ответственности

  • Статическая защита

Технологическая сеть беззащитна


Фактическое состояние безопасности АСУТП

  • Множество каналов взаимодействия между сетями и подсистемами

  • Каждый день обнаруживаются новые уязвимости в специализированных программных и аппаратных средствах АСУТП

  • Не обеспечивается целостность логики автоматики

  • Пакеты «внутри» разрешенного протокола не контролируются

  • Обновления не устанавливаются своевременно


Почему Вас не взломали? безопасности АСУТП

  • На данный момент это никому не интересно.

  • На данный момент отсутствуют средства и квалификация у злоумышленника

  • На данный момент для Вашего оборудования не разработаны технологии атаки.

  • На данный момент Ваша технологическая сеть «изолирована».

Ситуация может измениться в любой момент


А может УЖЕ взломали? безопасности АСУТП

  • Stuxnet успешно саботировал работу АЭС на протяжении 2 лет

  • Основная задача злоумышленника – скрыть свое присутствие

  • Подделываются учетные данные

  • Персонал – источник угрозы

Обладаете ли Вы достоверными сведениями?


Немного примеров безопасности АСУТП

  • Имитация технологической сети, подключенная к Интернету была атакована спустя 18 часов (39 атак за месяц)

  • Специализированное оборудование управления самолетом может быть взломано при помощи iPhone

  • Исследования показывают огромное количество технологический сетей подключенных к Интернет

  • Большинство сетей являются слабозащищенными


Эволюция вредоносного ПО безопасности АСУТП


Видение ЛАНИТ безопасности АСУТП

FW

Анализ и интеграция

Централизованное управление

SIEM

Корпоративная сеть

IPS

Управление производством

VMS

АСУТП

AV

Контроллеры и автоматика

NBA

Устройства и датчики


Применение мер защиты безопасности АСУТП

  • Большинство стандартных методов защиты не могут применяться в АСУТП

  • Требуется адаптация и/или дополнение

    • Изменение области применения

    • Замена компенсирующими мерами

    • Дополнение усиливающими мерами

  • Внедрение средств невозможно без предварительного анализа


Средства защиты в АСУТП безопасности АСУТП

ERP

Корпоративные системы

MES

Управление производством

SCADA

HMI, Industrial DB, OPC-сервер, АРМ инженера

PLC

PLC,MTU/RTU

Исполнительные устройства, датчики

Devices


Средства защиты в АСУТП безопасности АСУТП

ERP

  • Firewall

  • Intrusion prevention

  • Endpoint Protection

  • Anti-virus

MES

  • Application Firewall

  • Intrusion prevention

  • Compatible Endpoint Protection

  • Compatible Anti-virus

SCADA

  • Industrial Firewall

  • Industrial Intrusion detection

PLC

  • SIEM

  • VMS


Требования к промышленным техническим средствам защиты

  • Поддержка промышленных протоколов

  • База сигнатур атак на промышленное оборудование и ПО

  • Пассивный режим работы

  • Минимальный ущерб производительности и пропускной способности

  • Централизованное/удаленное управление

  • Наработка на отказ 10-20 лет

  • Защита от агрессивных сред

  • Крепление din rail

  • Питание DC 12…24 V


Порядок проведения проектов техническим средствам защиты

  • Пилотный проект – сканер уязвимости

  • Обоснование необходимости проведения аудита

  • Инвентаризация промышленной сети

  • Восстановление эксплуатационной документации

  • Анализ эффективности применения мер защиты

  • Моделирование конфликтов в процессах управления

  • Техническое задание на подсистему защиты

  • Поставка и внедрение средств защиты


Услуги техническим средствам защиты

  • Создание центра управления ИТ-безопасностью предприятия

  • Разработка и внедрение комплекса средств и защиты технологической сети предприятия

  • Обеспечение ИТ-безопасности в рамках проектов по модернизации и/или созданию объектов ИТ-инфраструктуры


Пилотные проекты техническим средствам защиты

  • Внедрение системы поиска уязвимостей программных и аппаратных средств технологической сети

  • Внедрение систем обнаружения вторжений и атак на элементы технологической сети

  • Внедрение средств межсетевого экранирования с поддержкой приложений и протоколов АСУТП


Наши партнеры техническим средствам защиты


СПАСИБО ЗА ВНИМАНИЕ! техническим средствам защиты

ВОПРОСЫ?

Кораблев Игорь

Руководитель направления

защиты промышленных систем

E-mail: [email protected]

Тел.: +7 (499) 576-5533 (доб. 7060)

Факс: +7 (495) 967-6673

Департамент сетевой интеграции

ЗАО «ЛАНИТ»

105066, г. Москва, ул. Доброслободская, д. 5, стр. 1

www.lanit.ru


Stuxnet
Stuxnet техническим средствам защиты

  • Июль 2010, Иран

    • Бушерская АЭС

    • Завод по обогащению урана в Натанзе

  • Компьютерный червь Stuxnet

    • Заражает ОС Widows

    • Цель – промышленное ПО и оборудование Siemens

    • Перепрограммирование контроллеров (PLC)


Stuxnet1
Stuxnet техническим средствам защиты

  • Активизируется только на компьютерах с ПО WinCC/PCS 7

  • Использует уязвимость ПО WinCC/PCS 7

  • Атакует только контроллеры, к которым подключены приводы переменной частоты

  • Заменяет микропрограмму контроллера

  • Изменяет частоту вращения привода в широком диапазоне


Stuxnet2
Stuxnet техническим средствам защиты


Stuxnet3
Stuxnet техническим средствам защиты

  • Скрывает свое присутствие в системе


Stuxnet4
Stuxnet техническим средствам защиты

  • Вирус вышел за пределы цели

  • Поражены промышленные сети многих предприятий


Duqu flame
Duqu техническим средствам защитыи Flame. Дальнейшее развитие.

  • Duqu

    • Сентябрь 2011 г.

    • Осуществляет сбор информации о промышленных системах

    • Не распространяется, целевое заражение. Ограниченное распространение.

    • Встречается несколько версий – несколько атак/целей

    • Управляется централизованно при помощи сети серверов

    • Возможность загрузки дополнительных исполняемых модулей.

    • Ограниченный срок работы. Самоуничтожение.

    • Защита от обнаружения антивирусным ПО


Duqu flame1
Duqu техническим средствам защитыи Flame. Дальнейшее развитие.

  • Flame

    • Май, 2012

    • Шпионское вредоносное ПО, нацеленное на страны ближнего востока

    • Гораздо сложнее Stuxnet

    • Модульная структура

    • Несколько алгоритмов шифрования

    • Использует СУБД SQLite для хранения структурированной информации

    • Поддержка удаленной команды на самоуничтожение

    • Новые технологии маскировки процессов


ad