1 / 35

Проблемы обеспечения безопасности технологических сетей

Проблемы обеспечения безопасности технологических сетей. Игорь Кораблев Р уководитель направления защиты промышленных систем ЗАО «ЛАНИТ». Отдел информационной безопасности ЛАНИТ. Широкая компетенция и высокая квалификация. 32 сертификата высшего образца.

flynn
Download Presentation

Проблемы обеспечения безопасности технологических сетей

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Проблемы обеспечения безопасности технологических сетей Игорь Кораблев Руководитель направления защиты промышленных систем ЗАО «ЛАНИТ»

  2. Отдел информационной безопасности ЛАНИТ Широкая компетенция и высокая квалификация 32 сертификата высшего образца 47 сертификатов о повышении квалификации в направлении ИБ

  3. Статусы ЛАНИТ Gold Certified Partner, LAR, Application Integration Partner Gold Partner Gold Preferred Partner Premier Business Partner Bronze Partner TrueNorth Gold Solutions Partner Platinum Partner Affiliate Partner Gold Partner Enterprise Partner Novell Silver Partner Elite Data Center Partner Registered Partner Gold Solution Advisor Gold Certified Partner Premier System Partner Authorised Reseller Platinum Partner Enterprise Solution Provider Power Solution Provider Авторизованный партнер SelectPartner Authorized Partner GoldPartner

  4. Информационная безопасность АСУТП • Промышленные катастрофы • Саяно-Шушенская ГЭС • Взрыв нефтяной платформы DeepwaterHorizon • Авария на АЭС Фукусима-1 • Завод по переработке урана в Натанзе (Иран) • Угроза жизни людей и окружающей среде • Высокая степень автоматизации технологических процессов

  5. Уровни технологической сети ERP Корпоративные системы MES Управление производством SCADA HMI, Industrial DB, OPC-сервер, АРМ инженера PLC PLC,MTU/RTU Исполнительные устройства, датчики Devices

  6. Реалии АСУТП • Закрытые разработки • Обособленные решения под задачу • Созданы по индивидуальному проекту • Используют специализированное оборудование и ПО • Рассчитаны на длительный срок эксплуатации • Разрабатывались БЕЗ учета требований по ИБ

  7. Тенденции развития АСУТП • Распространение IP-технологий внутрь промышленной сети • Интеграция корпоративных систем (ERP и MES) и АСУТП • Стандартизация и унификация решений по автоматизации • Использование стандартных программных и аппаратных платформ • Повышенный интерес специалистов к проблеме безопасности технологических сетей

  8. Технологическая сеть и корпоративная сеть • Исчезновение технологических и архитектурных отличий • Стирание границы между сетями • Централизация управления • Использование единой системы каналов передачи данных

  9. Мифы о безопасности АСУТП • Технологическая сеть изолирована • Технологическая сеть построена на специальных программно-аппаратных средствах и не подвержена стандартным угрозам • Резервирование и ПАЗ обеспечат необходимый уровень отказоустойчивости • Межсетевого экрана достаточно

  10. Миф первыйИзолирование технологической сети • Ограниченные возможности по интеграции • Ложное чувство защищенности • Неверная оценка рисков ИБ • Проблемы обновления ПО • Возникновение скрытых каналов Технологическая сеть беззащитна

  11. Миф второйСпециальное оборудование и ПО • Проектировалось для идеальных условий • Безопасность через незнание • Нет запаса для реализаций функций ИБ • Ограниченные возможности интеграции средств защиты Технологическая сеть беззащитна

  12. Миф третийПротивоаварийная защита • Борьба с последствиями • Защита от локальных сбоев • Опирается на данные, которые можно подделать • Нет централизованной корреляции данных мониторинга всей технологической сети Технологическая сеть беззащитна

  13. Миф четвертыйМежсетевой экран • Устаревшая технология • Нет поддержки специализированных протоколов • Находится на пересечении зон ответственности • Статическая защита Технологическая сеть беззащитна

  14. Фактическое состояние безопасности АСУТП • Множество каналов взаимодействия между сетями и подсистемами • Каждый день обнаруживаются новые уязвимости в специализированных программных и аппаратных средствах АСУТП • Не обеспечивается целостность логики автоматики • Пакеты «внутри» разрешенного протокола не контролируются • Обновления не устанавливаются своевременно

  15. Почему Вас не взломали? • На данный момент это никому не интересно. • На данный момент отсутствуют средства и квалификация у злоумышленника • На данный момент для Вашего оборудования не разработаны технологии атаки. • На данный момент Ваша технологическая сеть «изолирована». Ситуация может измениться в любой момент

  16. А может УЖЕ взломали? • Stuxnet успешно саботировал работу АЭС на протяжении 2 лет • Основная задача злоумышленника – скрыть свое присутствие • Подделываются учетные данные • Персонал – источник угрозы Обладаете ли Вы достоверными сведениями?

  17. Немного примеров • Имитация технологической сети, подключенная к Интернету была атакована спустя 18 часов (39 атак за месяц) • Специализированное оборудование управления самолетом может быть взломано при помощи iPhone • Исследования показывают огромное количество технологический сетей подключенных к Интернет • Большинство сетей являются слабозащищенными

  18. Эволюция вредоносного ПО

  19. Видение ЛАНИТ FW Анализ и интеграция Централизованное управление SIEM Корпоративная сеть IPS Управление производством VMS АСУТП AV Контроллеры и автоматика NBA Устройства и датчики

  20. Применение мер защиты • Большинство стандартных методов защиты не могут применяться в АСУТП • Требуется адаптация и/или дополнение • Изменение области применения • Замена компенсирующими мерами • Дополнение усиливающими мерами • Внедрение средств невозможно без предварительного анализа

  21. Средства защиты в АСУТП ERP Корпоративные системы MES Управление производством SCADA HMI, Industrial DB, OPC-сервер, АРМ инженера PLC PLC,MTU/RTU Исполнительные устройства, датчики Devices

  22. Средства защиты в АСУТП ERP • Firewall • Intrusion prevention • Endpoint Protection • Anti-virus MES • Application Firewall • Intrusion prevention • Compatible Endpoint Protection • Compatible Anti-virus SCADA • Industrial Firewall • Industrial Intrusion detection PLC • SIEM • VMS

  23. Требования к промышленным техническим средствам защиты • Поддержка промышленных протоколов • База сигнатур атак на промышленное оборудование и ПО • Пассивный режим работы • Минимальный ущерб производительности и пропускной способности • Централизованное/удаленное управление • Наработка на отказ 10-20 лет • Защита от агрессивных сред • Крепление din rail • Питание DC 12…24 V

  24. Порядок проведения проектов • Пилотный проект – сканер уязвимости • Обоснование необходимости проведения аудита • Инвентаризация промышленной сети • Восстановление эксплуатационной документации • Анализ эффективности применения мер защиты • Моделирование конфликтов в процессах управления • Техническое задание на подсистему защиты • Поставка и внедрение средств защиты

  25. Услуги • Создание центра управления ИТ-безопасностью предприятия • Разработка и внедрение комплекса средств и защиты технологической сети предприятия • Обеспечение ИТ-безопасности в рамках проектов по модернизации и/или созданию объектов ИТ-инфраструктуры

  26. Пилотные проекты • Внедрение системы поиска уязвимостей программных и аппаратных средств технологической сети • Внедрение систем обнаружения вторжений и атак на элементы технологической сети • Внедрение средств межсетевого экранирования с поддержкой приложений и протоколов АСУТП

  27. Наши партнеры

  28. СПАСИБО ЗА ВНИМАНИЕ! ВОПРОСЫ? Кораблев Игорь Руководитель направления защиты промышленных систем E-mail: korablev@lanit.ru Тел.: +7 (499) 576-5533 (доб. 7060) Факс: +7 (495) 967-6673 Департамент сетевой интеграции ЗАО «ЛАНИТ» 105066, г. Москва, ул. Доброслободская, д. 5, стр. 1 www.lanit.ru

  29. Stuxnet • Июль 2010, Иран • Бушерская АЭС • Завод по обогащению урана в Натанзе • Компьютерный червь Stuxnet • Заражает ОС Widows • Цель – промышленное ПО и оборудование Siemens • Перепрограммирование контроллеров (PLC)

  30. Stuxnet • Активизируется только на компьютерах с ПО WinCC/PCS 7 • Использует уязвимость ПО WinCC/PCS 7 • Атакует только контроллеры, к которым подключены приводы переменной частоты • Заменяет микропрограмму контроллера • Изменяет частоту вращения привода в широком диапазоне

  31. Stuxnet

  32. Stuxnet • Скрывает свое присутствие в системе

  33. Stuxnet • Вирус вышел за пределы цели • Поражены промышленные сети многих предприятий

  34. Duquи Flame. Дальнейшее развитие. • Duqu • Сентябрь 2011 г. • Осуществляет сбор информации о промышленных системах • Не распространяется, целевое заражение. Ограниченное распространение. • Встречается несколько версий – несколько атак/целей • Управляется централизованно при помощи сети серверов • Возможность загрузки дополнительных исполняемых модулей. • Ограниченный срок работы. Самоуничтожение. • Защита от обнаружения антивирусным ПО

  35. Duquи Flame. Дальнейшее развитие. • Flame • Май, 2012 • Шпионское вредоносное ПО, нацеленное на страны ближнего востока • Гораздо сложнее Stuxnet • Модульная структура • Несколько алгоритмов шифрования • Использует СУБД SQLite для хранения структурированной информации • Поддержка удаленной команды на самоуничтожение • Новые технологии маскировки процессов

More Related