ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информационной безопасности (САМСИБ)

10.12.2015

Антон Ёркин Руководитель направления

УЦСБ

Система анализа и мониторинга состояния ИБ в

АСУ ТП

Содержание

1. Актуальные угрозы ИБ АСУ ТП

2. Направления обеспечения ИБ АСУ ТП

3. Назначение, архитектура и функции САМСИБ

2

Предпосылки угроз ИБ в АСУ ТП1. Применение современных сетевых технологий

2. Применение незащищенных промышленных протоколов (MODBUS, PROFIBUS и т.д.) поверх традиционных сетевых (TCP/IP)

OSI Протокол7 Modbus

6 -

5 -

4 -3 -

2 Modbus

1 RS-485, RS-232

OSI Протокол7 Modbus

6 -

5 -

4 TCP3 IP

2Ethernet1

3

Предпосылки угроз ИБ в АСУ ТП3. Применение традиционных ИТ-решений

4. Исследования безопасности АСУ ТП

2010 StuxnetГод Уязвимости

2005-2010

20Год Уязвимости2011-2015

>300

4

Протоколы, в рамках которых произошел инцидент в АСУ ТП*

5* - Репозиторий инцидентов безопасности в АСУ ТП (RISI, США), данные из статьи http://lukatsky.blogspot.ru/2014/03/blog-post_26.html

5 из 30

Распределение уязвимостей по уровням АСУ ТП*Уровень диспетчерского управления – 41,6%

Верхний уровень управления – 58,1%

Средний уровень управления – 0,3%

Нижний (полевой) уровень управления – 0%

* - результаты исследования RED TIGER Security (США) по заданию АНБ США 6

Актуальные угрозы ИБ АСУ ТП*1. Несанкционированное использование технологий удаленного доступа

2. Атаки через офисную (корпоративную) сеть передачи данных

3. Атаки на традиционные IT-компоненты, применяемые в АСУ ТП

4. (D)DoS атаки

5. Человеческие ошибки и злонамеренные действия персонала

6. Распространение вредоносного ПО с помощью съемных носителей

информации и устройств, подключаемых к сети АСУ ТП

7. Перехват, искажение и передача информации, циркулирующей в сети

АСУ ТП

8. Неавторизованный доступ к компонентам АСУ ТП

9. Атаки на сеть передачи данных АСУ ТП

10.Отказы оборудования, форс-мажор

* - «BSI-Publications on Cyber-Security | Industrial Control System Security – Top 10 Threats and Countermeasures» 7

Актуальные направления защитыКласс мер по обеспечению ИБ

Превентивные Детектирующие Корректирующие

Обеспечение сетевой безопасности Применение средств резервного копирования и восстановленияБезопасная настройка

компонентовУправление конфигурациями и изменениями

Управление доступом Регистрация и сбор событий безопасности

Защита от вредоносного ПО

Контроль защищенности

Организационные меры (Политика ИБ, обучение персонала, расследования)

Физическая безопасность и ИТСО

8










Допускает унифицированную

реализацию

Большая разнообразность и зависимость от конечной системы

Целесообразно реализовывать как элемент АСУ ТП

9










Допускает унифицированную

реализацию

Большая разнообразность и зависимость от конечной системы

Целесообразно реализовывать как элемент АСУ ТП

САМСИБ - система анализа и мониторинга состояния ИБ

9

Основные функции САМСИБ

10

Сбор и обработка событий ИБ


• Сбор событий ИБ • Корреляция событий ИБ • Выявление инцидентов ИБ

10




Обнаружение сетевых атак и аномалий

• Обнаружение атак • Выявление сетевых аномалий

10




Контроль состояния ИБ

Контроль конфигураций • Сбор конфигураций • Выявление изменений конфигураций

Инвентаризация ОЗ • Определение текущего состава ОЗ • Выявление изменений в составе ОЗ • Передача информации об ОЗ в КСУИБ

Контроль соответствия требованиям ИБ и контроль защищенности • Проверка ОЗ на наличие уязвимостей • Оценка выполнения требований безопасной конфигурации

• Формирование отчетов • Передача отчетов в КСУИБ

Обнаружение сетевых атак и аномалий

• Обнаружение атак • Выявление сетевых аномалий

10

АСУ ТП

Уровень филиала

Уровень площадки/комплекса

Уровень Администрации

Функциональная структура САМСИБ

СДКУ, СППДР

СДКУ, СЛТМ

АСУ ТП, САУ

11

Функциональные блоки САМСИББлок Функции блока Размещение в иерархии АСУ

ТППользователь

блока

Блок мониторинга

• Сбор событий ИБ • Обнаружение атак • Выявление сетевых аномалий • Сбор конфигураций • Определение текущего состава ОЗ • Выявление изменений в составе

ОЗ • Проверка ОЗ на наличие

уязвимостей

Нет

Блок корреляции

• Корреляция событий ИБ • Выявление изменений

конфигураций Администратор ИБ

Блок оценки • Выявление инцидентов ИБ • Оценка выполнения требований

безопасной конфигурации • Формирование отчетов • Интеграция с КСУИБ

Отдел ИБ

Уровень Администр.


Уровень площадки



Уровень площадки



Уровень площадки12

Режимы функционирования блока мониторинга

Функции блока мониторинга Пассивный мониторинг

Активный мониторинг

Сканирование защищенности

Сбор событий ИБ

Обнаружение атак

Выявление сетевых аномалий

Сбор конфигураций

Определение текущего состава ОЗ

Выявление изменений в составе ОЗ

Проверка ОЗ на наличие уязвимостей

Пассивный мониторинг: однонаправленное получение информации, мониторинг на основе анализа сетевого трафика, без воздействия на компоненты АСУ ТП

Сканирование защищенности: выявление уязвимостей компонентов АСУ ТП

Активный мониторинг: взаимодействие с компонентами АСУ ТП (запрос-ответ), сбор конфигураций и событий

13

Варианты реализации САМСИБ

Комплекс традиционных

средств

Комплекс специализированных средств отечественной разработки

Комплекс специализированных средств иностранной разработки

Контроль конфигураций компонентов АСУ ПТК Max Patrol DATAPK Industrial

Defender

Инвентаризация объектов защиты Max Patrol DATAPK Industrial Defender

Управление событиями безопасности ArcSight DATAPK Industrial Defender

Обеспечение сетевой безопасности (выявление комп. атак)

Check Point DATAPK Industrial

Defender

Автоматизация контроля соответствия требованиям ИБ и контроля защищенности Max Patrol DATAPK Industrial

Defender

Мероприятия по обеспечению ИБ

Вариант реализации

14

Сравнение вариантов реализации

Комплекс традиционных средств

Комплекс специализированных средств отечественной

разработки

Комплекс специализированных средств иностранной


Требования к вычислительной инфраструктуре

Требуется установка агентов на СВТ АСУ ТП

Безагентная система

Требуется установка агентов на СВТ АСУ ТП

Возможности по контролю за нагрузкой на каналы связи

• Расписание использования каналов связи

• Ограничение полосы пропускания





Объем передаваемых данных между уровнями иерархии

Значительный Минимальный Значительный

Параметр сравнения

Вариант

15

Сравнение вариантов реализации (2)

Комплекс традиционных средств

Комплекс специализированных средств отечественной


Комплекс специализированных средств иностранной


Требования к инженерной инфраструктуре

• Монтажный шкаф • Кондиционирование • Гарантированное

электроснабжение

Соответствуют требованиям компонентов защищаемой АСУ ТП

• Монтажный шкаф • Кондиционирование • Гарантированное электроснабжение

Степень реализации функций системы

Избыточная Достаточная Достаточная

Порядок стоимости

Параметр сравнения

Вариант

16

Реализация САМСИБПрограммно-технические средства

Реализуемые функциональные блоки

Обозначение Наименование Производитель

DATAPK (уровня предприятия) ООО «УЦСБ»

• Блок анализа • Блок корреляции • Блок мониторинга

DATAPK (уровня филиала) ООО «УЦСБ

• Блок корреляции • Блок мониторинга

DATAPK (уровня технологического комплекса)

ООО «УЦСБ

• Блок мониторинга

17

Результаты применения Системы анализа и мониторинг состояния ИБ

САМСИБ• Раннеевыявлениепопытокосуществленияатак• Предоставлениеполнойинформациидля

предотвращенияреализацииугрозыИБ• Выявлениеимеющихсяуязвимостей• ЭффективныйконтрольсостоянияИБ

18


Подготовка Реализация ЗавершениеВремя



18


Подготовка Реализация ЗавершениеВремяStuxnet

Больше1года



18


Подготовка Реализация ЗавершениеВремяStuxnet

Больше1года



18

Благодарю за внимание!

Антон Ёркин ООО «УЦСБ» 620026, Екатеринбург, ул. Ткачей, д.6Тел.: +7 (343) 379-98-34Факс: +7 (343) [email protected]

mailto:[email protected]

http://www.ussc.ru/

Technology

ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информационной безопасности (САМСИБ)