HONEYWELL RISK MANAGER R170 · 2018. 10. 10. · R170 | Новые риски и динамические правила Новые риски повышают эффективность

ИБ АСУТПHONEYWELL RISK MANAGER R170Овсянкин Никита

20 сентября 2018

Honeywell Confidential - © 2018 by Honeywell International Inc. All rights reserved.

Honeywell предлагает весь спектр решений для ИБ АСУТП

1

Comprehensive, Proven and Trusted End-to-End Solutions

- Белые списки

- Антивирус

- МСЭ

- IDS/IPS

- Security Information & Event Management (SIEM)

- Управление угрозами

- Разработка концепции ИБ АСУТП

- Проведение аудитов

- Разработка архитектуры систем

- Внедрение и интеграция

- Поддержка и обслуживание

- Аудиты на соответствие требованиям

КОНСУЛЬТИРОВАНИЕ

Adaptive

Emergent

Se

curity

Ma

turity

- Безопасный удаленный доступ

- Непрерывный мониторинг

- Авторассылка патчей и обновлений

- Реагирование на инциденты, аварийное восстановление

- Security device co-management

- Внедрение и управление ICS Shield®

- Услуги центров ОТ-SOC

ИНТЕГРАЦИЯСТОРОННИХ

ПРОИЗВОДИТЕЛЕЙ

ПРОГРАММНЫЕ ПРОДУКТЫ

- Industrial CybersecurityRisk Manager: Enterprise/Site

- ICS Shield® - платформа для ИБАСУТП

- Secure Media Exchange (SMX)

- Advanced Threat Intelligence Exchange (ATIX)

- ПО для оценки состояния и аудитов безопасности

Управление ИБАСУТП


Honeywell’s Industrial Cybersecurity Risk ManagerИзмерение наиболее важных рисков ИБ

• Первая платформа для отслеживания рисков ИБ для

промышленных предприятий

- Информация для принятия решений

- Применима для руководителей заводов и высшего руководства

• Измерение, приоритизация и управление рисками ИБ для

снижения угроз и приведения в соответствие

- Приоритизация рисков (более 16 патентов Хоневелл) – анализ

рисков

- Управление рисками всего предприятия

• Ускорение и упрощение отчетов по безопасности, снижение

трудозатрат и финансовых затрат

- Автоматизированный непрерывный сбор данных

- Рекомендации для усиления безопасности

- Управление безопасностью конечных устройств, сетевых

устройств, рассылкой патчей и обновлений, состоянию

резервных копий в реальном времени

2


Развитие Risk Manager | Основные функции

3

Измерение наиболее важных рисков

2014 2015 2016 2017 2018

Прототип Поставка

Enterprise-версия,

расширение функционала

Honeywell

Users Group

2014, 2015

R140, R150 R160 R170

• Risk data collection &

scoring

• Virtualization: Virtual RM

• Dynamic rules

• Expanded PCN visibility:

C200/C300 Controller

discovery

• Enterprise-wide visibility:

Enterprise Risk Manager

• Expedited reporting: Syslog

Forwarding

• Power user analytics: Analysis

Views

• Single RM monitoring across

multiple domains: AD Multiple

Domain Support

• Customers pay less to get

started : Subscription-based

pricing structure


Основные функции R1704

Функция Преимущества

Улучшенный пользовательский интерфейс • Повышение эффективности использования

Аналитика

Улучшенный инструментарий для анализа и отчетов

• Эффективный анализ угроз

• Простота и стандартизация отчетов

• Ускорение отчетов

Добавлены новые риски и динамические правила

Расширение покрытия мониторинга рисков

• Более совершенный мониторинг рисков конечных

устройств

• Специализированный мониторинг рисков для каждой

установки

Передача данных Syslog

Безопасная передача данных из Enterprise Risk

Manager по Syslog в SIEM

• Расширенный пул информации о рисках для анализа

• Эффективность отслеживания рисков

• Ускорение анализа рисков для OT и IT

• Интеграция с IT инфраструктурой

Enterprise Risk Manager (ERM)

Представление нескольких заводов, площадок,

установок на одном экране

• Значительное повышение осведомленности о

ситуации

• Ускорение отчетности

• Снижение рисков ИБ

Поддержка нескольких доменов и рабочих групп

Возможность доступа через один RM к нескольким

доменам и мониторингу конечных устройств в одной

рабочей группе

• Единый доступ через один RM

• Принятие решений на основе данных по нескольким

установкам


R170 | Улучшения интерфейса – оффлайн устройства

5

Интерфейс

показывает

устройства,

находящиеся

оффлайн



6

Вы можете видеть

оффлайн устройства

с панели состояния

системы



7

На экране «Monitored

Device Details»

показывается

последнее время

подключения для

данного устройства


R170 | Улучшения интерфейса – микро-тренды

8

Микро-тренды

убраны с дисплея

«Risk Location»

Значительно

ускорилось время

вызова дисплея


R170 | Улучшения интерфейса – микро-тренды

9

Микро-тренды по-

прежнему

отображаются на

страницах «Detailed

Device Risk»


R170 | Аналитические экраны

• Создание отчетов с помощью drag-and-drop

упрощает анализ рисков – не требуется

конфигурирования или программирования

• Иерархическое представления расположения риска

упрощает поиск и анализ по установкам и заводам

• Сохранение отчетов упрощает документирование

• Табличное и графическое представление KPI

• Включены 8 стандартных отчетов

10

Аналитика для «продвинутых пользователей» для понимания и

выполнения действий в связи с рисками ИБ


11

Drag-and-drop

для просмотра

Стандартные отчеты

Спец.

отчеты

Недавние отчеты


R170 | Аналитические экраны. Преимущества

Анализ угроз безопасности

• Богатый функционал сокращает время поиска

• Стандартизация отчетов для эффективной коммуникации OT и IT

Упрощение отчетов

• Функционал drag-and-drop не требует конфигурирования

• Включены стандартные отчеты для экономии времени

Ускорение отчетов

• Быстрый поиск компонентов на основе месторасположения – не

требуется поиска по текстовому неструктурированному файлу

• Простое создание и сохраненине отчетов

12


R170 | Новые риски и динамические правила

Новые риски повышают эффективность отображения Endpoint

Security Risk

• Аудит Windows

• Группы Windows и изменения паролей

• Изменения прав пользователей

• Удаленный рабочий стол

Динамические правила

• Отслеживание журналов событий Windows

• Отслеживание настроек аудита Windows

• Настраиваемое отслеживание, руководство, поведение рисков

13


R170 | Новые риски

14

26 новых рисков

Endpoint Security

- Windows Auditing Disabled - Security Group or User Account

- Global Group changed, created, or deleted

- Group Type changed

- Local Group changed, created, or deleted

- Member Added or removed from Global, Universal, or Local

Group

- Password Reset by Administrator

- Remote Desktop Access Denied

- Universal Group changed, created, or deleted

- User Account changed, created, deleted or disabled

- User Right assigned or removed


R170 | Динамические правила

15

Создание

динамических

правил для

отслеживания угроз

и уязвимостей,

специфичных для

вашей системы


R170 | Динамические правила

16

Вы можете

настраивать

поведение


правил


R170 | Динамические правила - Audit Policy

17

Создание

специальных


правил, согласно

политик аудита

Windows, чтобы все

интересующие вас

угрозы и уязвимости

попали в лог


R170 | Динамические правила – риски из журнала событий

18

Создание


правил, используя

записи журнала

событий Windows

или любого другого

журнала


R170 | Enterprise Risk Manager

19

RM

RM

Additional

Remote

Sites

Enterprise

Risk Manager

• Вся информация с

площадок/установок собрана в

единый экран уровня L4.

Детализированная информация

также доступна.

• Доступна детализированная

аналитика и корреляция угроз и

событий

• Безопасное подключение Risk

Manager к ERM удаленных систем

• Стандартизация политик кибер-

рисков по всем площадкам


R170 | Информация с нескольких площадок

20

Показывает выбранную панель Risk Manager

Показывает выбранную

страницу источника риска с

выбранными деталями

Показывает состояние

площадки/установки


R170 | Enterprise Risk Manager – ERM System Health

21

Статус System Health

Enterprise Risk

Manager

Показывает сводку

по всем

подключенным

площадкам


R170 | Risk Manager - System Health – ERM

22

Состояние System

Health Risk Manager

– отображение в

Enterprise Risk

Manager


R170 | Enterprise Risk Manager – статус RM установки

23

Risk Manager

установки –

показывает

соединение с

Enterprise Risk

Manager


Доп. функции IERM | Безопасная передача SYSLOGL4

24

• Используется тот же механизм, как

в ERM для безопасной передачи

SYSLOG на L4

• RM может получать SYSLOG от

нескольких АСУТП

− Настройка устройств для

передачи SYSLOG в Risk

Manager

− Risk Manager

конфигурируется для

получения SYSLOG

• RM передает сообщения SYSLOG

на L4 в ERM

− IERM отправляет все

сообщения SYSLOG в SIEM

Data From Other Site

Risk Managers


R170 | Передача Syslog – настройка RM

25

Передача Syslog -

настройка Risk

Manager


R170 | Передача Syslog – настройка ERM

26

Настройка передачи

из ERM в

корпоративный SIEM


R170 | Передача Syslog – настройка RM

27

Передача Syslog

включает:

-Syslog Listener

- Передачу рисков

RM


R170 | Syslog Forwarding vs Syslog Output

• Syslog Forwarding новая

функция R170

• Syslog Output старая функция,

доступная в Risk Manager,

начиная с R120

28


R170 | Risk Manager - Syslog Output

29

Syslog Output

отправляет

сообщения

Abbreviated Syslog

напрямую в сеть RM


R170 | Поддержка нескольких доменов и рабочих групп

Один RM на несколько доменов

• Ручная установка агента RM на конечные устройства в другом домене

• Требует обоюдного доверия между доменами RM и конечного узла

• Доступен весь функционал RM, включая OPC Alert

• Решение SCOM Gateway может быть квалифицировано в поздних

релизах

Мониторинг узлов в одной рабоче группе

• Для связи нужны сертификаты доверенных CA

• Ручная установка агента RM на конечные узлы рабочей группы

• Также может использоваться SCOM Gateway

30


R170 | Расширение существующих функций Risk Manager

•Поддержка EBR R500

• Улучшенный функционал импорта/экспорта

• Улучшенный интерфейс

• Настройка уведомлений о патчах

• Интеграция с Honeywell Secure Media Exchange (SMX)

31


R170 | Улучшения в производительности, надежности

•Улучшенное обнаружение сетевых устройств

•Переход на 64-bit сервер правил

•Настройка хранения данных в SCOM и RM

•Исключение дубликатов записей в базе

•Удалены неиспользуемые пакеты

•Протестировано с 23 RM, подключенными к одному Enterprise Risk

Manager

•Протестировано с 225+ конечных узлов, подключенных к одному RM

32


Апгрейд предыдущих релизов Risk Manager

•С R150 на R170

- Два варианта миграции

С сохранением предыдущей

конфигурации

Установка заново

- Оплата только за работы

33

•С R160 на R170

- Обычная миграция

- Оплата только за работы


Вопросы?

Documents

HONEYWELL RISK MANAGER R170 · 2018. 10. 10. · R170 | Новые риски и динамические правила Новые риски повышают эффективность