Upload
others
View
21
Download
0
Embed Size (px)
Citation preview
ИБ АСУТПHONEYWELL RISK MANAGER R170Овсянкин Никита
20 сентября 2018
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
Honeywell предлагает весь спектр решений для ИБ АСУТП
1
Comprehensive, Proven and Trusted End-to-End Solutions
- Белые списки
- Антивирус
- МСЭ
- IDS/IPS
- Security Information & Event Management (SIEM)
- Управление угрозами
- Разработка концепции ИБ АСУТП
- Проведение аудитов
- Разработка архитектуры систем
- Внедрение и интеграция
- Поддержка и обслуживание
- Аудиты на соответствие требованиям
КОНСУЛЬТИРОВАНИЕ
Adaptive
Emergent
Se
curity
Ma
turity
- Безопасный удаленный доступ
- Непрерывный мониторинг
- Авторассылка патчей и обновлений
- Реагирование на инциденты, аварийное восстановление
- Security device co-management
- Внедрение и управление ICS Shield®
- Услуги центров ОТ-SOC
ИНТЕГРАЦИЯСТОРОННИХ
ПРОИЗВОДИТЕЛЕЙ
ПРОГРАММНЫЕ ПРОДУКТЫ
- Industrial CybersecurityRisk Manager: Enterprise/Site
- ICS Shield® - платформа для ИБАСУТП
- Secure Media Exchange (SMX)
- Advanced Threat Intelligence Exchange (ATIX)
- ПО для оценки состояния и аудитов безопасности
Управление ИБАСУТП
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
Honeywell’s Industrial Cybersecurity Risk ManagerИзмерение наиболее важных рисков ИБ
• Первая платформа для отслеживания рисков ИБ для
промышленных предприятий
- Информация для принятия решений
- Применима для руководителей заводов и высшего руководства
• Измерение, приоритизация и управление рисками ИБ для
снижения угроз и приведения в соответствие
- Приоритизация рисков (более 16 патентов Хоневелл) – анализ
рисков
- Управление рисками всего предприятия
• Ускорение и упрощение отчетов по безопасности, снижение
трудозатрат и финансовых затрат
- Автоматизированный непрерывный сбор данных
- Рекомендации для усиления безопасности
- Управление безопасностью конечных устройств, сетевых
устройств, рассылкой патчей и обновлений, состоянию
резервных копий в реальном времени
2
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
Развитие Risk Manager | Основные функции
3
Измерение наиболее важных рисков
2014 2015 2016 2017 2018
Прототип Поставка
Enterprise-версия,
расширение функционала
Honeywell
Users Group
2014, 2015
R140, R150 R160 R170
• Risk data collection &
scoring
• Virtualization: Virtual RM
• Dynamic rules
• Expanded PCN visibility:
C200/C300 Controller
discovery
• Enterprise-wide visibility:
Enterprise Risk Manager
• Expedited reporting: Syslog
Forwarding
• Power user analytics: Analysis
Views
• Single RM monitoring across
multiple domains: AD Multiple
Domain Support
• Customers pay less to get
started : Subscription-based
pricing structure
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
Основные функции R1704
Функция Преимущества
Улучшенный пользовательский интерфейс • Повышение эффективности использования
Аналитика
Улучшенный инструментарий для анализа и отчетов
• Эффективный анализ угроз
• Простота и стандартизация отчетов
• Ускорение отчетов
Добавлены новые риски и динамические правила
Расширение покрытия мониторинга рисков
• Более совершенный мониторинг рисков конечных
устройств
• Специализированный мониторинг рисков для каждой
установки
Передача данных Syslog
Безопасная передача данных из Enterprise Risk
Manager по Syslog в SIEM
• Расширенный пул информации о рисках для анализа
• Эффективность отслеживания рисков
• Ускорение анализа рисков для OT и IT
• Интеграция с IT инфраструктурой
Enterprise Risk Manager (ERM)
Представление нескольких заводов, площадок,
установок на одном экране
• Значительное повышение осведомленности о
ситуации
• Ускорение отчетности
• Снижение рисков ИБ
Поддержка нескольких доменов и рабочих групп
Возможность доступа через один RM к нескольким
доменам и мониторингу конечных устройств в одной
рабочей группе
• Единый доступ через один RM
• Принятие решений на основе данных по нескольким
установкам
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Улучшения интерфейса – оффлайн устройства
5
Интерфейс
показывает
устройства,
находящиеся
оффлайн
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Улучшения интерфейса – оффлайн устройства
6
Вы можете видеть
оффлайн устройства
с панели состояния
системы
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Улучшения интерфейса – оффлайн устройства
7
На экране «Monitored
Device Details»
показывается
последнее время
подключения для
данного устройства
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Улучшения интерфейса – микро-тренды
8
Микро-тренды
убраны с дисплея
«Risk Location»
Значительно
ускорилось время
вызова дисплея
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Улучшения интерфейса – микро-тренды
9
Микро-тренды по-
прежнему
отображаются на
страницах «Detailed
Device Risk»
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Аналитические экраны
• Создание отчетов с помощью drag-and-drop
упрощает анализ рисков – не требуется
конфигурирования или программирования
• Иерархическое представления расположения риска
упрощает поиск и анализ по установкам и заводам
• Сохранение отчетов упрощает документирование
• Табличное и графическое представление KPI
• Включены 8 стандартных отчетов
10
Аналитика для «продвинутых пользователей» для понимания и
выполнения действий в связи с рисками ИБ
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
11
Drag-and-drop
для просмотра
Стандартные отчеты
Спец.
отчеты
Недавние отчеты
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Аналитические экраны. Преимущества
Анализ угроз безопасности
• Богатый функционал сокращает время поиска
• Стандартизация отчетов для эффективной коммуникации OT и IT
Упрощение отчетов
• Функционал drag-and-drop не требует конфигурирования
• Включены стандартные отчеты для экономии времени
Ускорение отчетов
• Быстрый поиск компонентов на основе месторасположения – не
требуется поиска по текстовому неструктурированному файлу
• Простое создание и сохраненине отчетов
12
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Новые риски и динамические правила
Новые риски повышают эффективность отображения Endpoint
Security Risk
• Аудит Windows
• Группы Windows и изменения паролей
• Изменения прав пользователей
• Удаленный рабочий стол
Динамические правила
• Отслеживание журналов событий Windows
• Отслеживание настроек аудита Windows
• Настраиваемое отслеживание, руководство, поведение рисков
13
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Новые риски
14
26 новых рисков
Endpoint Security
- Windows Auditing Disabled - Security Group or User Account
- Global Group changed, created, or deleted
- Group Type changed
- Local Group changed, created, or deleted
- Member Added or removed from Global, Universal, or Local
Group
- Password Reset by Administrator
- Remote Desktop Access Denied
- Universal Group changed, created, or deleted
- User Account changed, created, deleted or disabled
- User Right assigned or removed
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Динамические правила
15
Создание
динамических
правил для
отслеживания угроз
и уязвимостей,
специфичных для
вашей системы
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Динамические правила
16
Вы можете
настраивать
поведение
динамических
правил
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Динамические правила - Audit Policy
17
Создание
специальных
динамических
правил, согласно
политик аудита
Windows, чтобы все
интересующие вас
угрозы и уязвимости
попали в лог
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Динамические правила – риски из журнала событий
18
Создание
динамических
правил, используя
записи журнала
событий Windows
или любого другого
журнала
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Enterprise Risk Manager
19
RM
RM
Additional
Remote
Sites
Enterprise
Risk Manager
• Вся информация с
площадок/установок собрана в
единый экран уровня L4.
Детализированная информация
также доступна.
• Доступна детализированная
аналитика и корреляция угроз и
событий
• Безопасное подключение Risk
Manager к ERM удаленных систем
• Стандартизация политик кибер-
рисков по всем площадкам
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Информация с нескольких площадок
20
Показывает выбранную панель Risk Manager
Показывает выбранную
страницу источника риска с
выбранными деталями
Показывает состояние
площадки/установки
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Enterprise Risk Manager – ERM System Health
21
Статус System Health
Enterprise Risk
Manager
Показывает сводку
по всем
подключенным
площадкам
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Risk Manager - System Health – ERM
22
Состояние System
Health Risk Manager
– отображение в
Enterprise Risk
Manager
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Enterprise Risk Manager – статус RM установки
23
Risk Manager
установки –
показывает
соединение с
Enterprise Risk
Manager
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
Доп. функции IERM | Безопасная передача SYSLOGL4
24
• Используется тот же механизм, как
в ERM для безопасной передачи
SYSLOG на L4
• RM может получать SYSLOG от
нескольких АСУТП
− Настройка устройств для
передачи SYSLOG в Risk
Manager
− Risk Manager
конфигурируется для
получения SYSLOG
• RM передает сообщения SYSLOG
на L4 в ERM
− IERM отправляет все
сообщения SYSLOG в SIEM
Data From Other Site
Risk Managers
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Передача Syslog – настройка RM
25
Передача Syslog -
настройка Risk
Manager
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Передача Syslog – настройка ERM
26
Настройка передачи
из ERM в
корпоративный SIEM
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Передача Syslog – настройка RM
27
Передача Syslog
включает:
-Syslog Listener
- Передачу рисков
RM
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Syslog Forwarding vs Syslog Output
• Syslog Forwarding новая
функция R170
• Syslog Output старая функция,
доступная в Risk Manager,
начиная с R120
28
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Risk Manager - Syslog Output
29
Syslog Output
отправляет
сообщения
Abbreviated Syslog
напрямую в сеть RM
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Поддержка нескольких доменов и рабочих групп
Один RM на несколько доменов
• Ручная установка агента RM на конечные устройства в другом домене
• Требует обоюдного доверия между доменами RM и конечного узла
• Доступен весь функционал RM, включая OPC Alert
• Решение SCOM Gateway может быть квалифицировано в поздних
релизах
Мониторинг узлов в одной рабоче группе
• Для связи нужны сертификаты доверенных CA
• Ручная установка агента RM на конечные узлы рабочей группы
• Также может использоваться SCOM Gateway
30
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Расширение существующих функций Risk Manager
•Поддержка EBR R500
• Улучшенный функционал импорта/экспорта
• Улучшенный интерфейс
• Настройка уведомлений о патчах
• Интеграция с Honeywell Secure Media Exchange (SMX)
31
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
R170 | Улучшения в производительности, надежности
•Улучшенное обнаружение сетевых устройств
•Переход на 64-bit сервер правил
•Настройка хранения данных в SCOM и RM
•Исключение дубликатов записей в базе
•Удалены неиспользуемые пакеты
•Протестировано с 23 RM, подключенными к одному Enterprise Risk
Manager
•Протестировано с 225+ конечных узлов, подключенных к одному RM
32
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
Апгрейд предыдущих релизов Risk Manager
•С R150 на R170
- Два варианта миграции
С сохранением предыдущей
конфигурации
Установка заново
- Оплата только за работы
33
•С R160 на R170
- Обычная миграция
- Оплата только за работы
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.
Вопросы?
Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.