Upload
-
View
812
Download
8
Embed Size (px)
Citation preview
10.12.2015
Антон Ёркин Руководитель направления
УЦСБ
Система анализа и мониторинга состояния ИБ в
АСУ ТП
Содержание
1. Актуальные угрозы ИБ АСУ ТП
2. Направления обеспечения ИБ АСУ ТП
3. Назначение, архитектура и функции САМСИБ
2
Предпосылки угроз ИБ в АСУ ТП1. Применение современных сетевых технологий
2. Применение незащищенных промышленных протоколов (MODBUS, PROFIBUS и т.д.) поверх традиционных сетевых (TCP/IP)
OSI Протокол7 Modbus
6 -
5 -
4 -3 -
2 Modbus
1 RS-485, RS-232
OSI Протокол7 Modbus
6 -
5 -
4 TCP3 IP
2Ethernet1
3
Предпосылки угроз ИБ в АСУ ТП3. Применение традиционных ИТ-решений
4. Исследования безопасности АСУ ТП
2010 StuxnetГод Уязвимости
2005-2010
20Год Уязвимости2011-2015
>300
4
Протоколы, в рамках которых произошел инцидент в АСУ ТП*
5* - Репозиторий инцидентов безопасности в АСУ ТП (RISI, США), данные из статьи http://lukatsky.blogspot.ru/2014/03/blog-post_26.html
5 из 30
Распределение уязвимостей по уровням АСУ ТП*Уровень диспетчерского управления – 41,6%
Верхний уровень управления – 58,1%
Средний уровень управления – 0,3%
Нижний (полевой) уровень управления – 0%
* - результаты исследования RED TIGER Security (США) по заданию АНБ США 6
Актуальные угрозы ИБ АСУ ТП*1. Несанкционированное использование технологий удаленного доступа
2. Атаки через офисную (корпоративную) сеть передачи данных
3. Атаки на традиционные IT-компоненты, применяемые в АСУ ТП
4. (D)DoS атаки
5. Человеческие ошибки и злонамеренные действия персонала
6. Распространение вредоносного ПО с помощью съемных носителей
информации и устройств, подключаемых к сети АСУ ТП
7. Перехват, искажение и передача информации, циркулирующей в сети
АСУ ТП
8. Неавторизованный доступ к компонентам АСУ ТП
9. Атаки на сеть передачи данных АСУ ТП
10.Отказы оборудования, форс-мажор
* - «BSI-Publications on Cyber-Security | Industrial Control System Security – Top 10 Threats and Countermeasures» 7
Актуальные направления защитыКласс мер по обеспечению ИБ
Превентивные Детектирующие Корректирующие
Обеспечение сетевой безопасности Применение средств резервного копирования и восстановленияБезопасная настройка
компонентовУправление конфигурациями и изменениями
Управление доступом Регистрация и сбор событий безопасности
Защита от вредоносного ПО
Контроль защищенности
Организационные меры (Политика ИБ, обучение персонала, расследования)
Физическая безопасность и ИТСО
8
Актуальные направления защитыКласс мер по обеспечению ИБ
Превентивные Детектирующие Корректирующие
Обеспечение сетевой безопасности Применение средств резервного копирования и восстановленияБезопасная настройка
компонентовУправление конфигурациями и изменениями
Управление доступом Регистрация и сбор событий безопасности
Защита от вредоносного ПО
Контроль защищенности
Организационные меры (Политика ИБ, обучение персонала, расследования)
Физическая безопасность и ИТСО
Допускает унифицированную
реализацию
Большая разнообразность и зависимость от конечной системы
Целесообразно реализовывать как элемент АСУ ТП
9
Актуальные направления защитыКласс мер по обеспечению ИБ
Превентивные Детектирующие Корректирующие
Обеспечение сетевой безопасности Применение средств резервного копирования и восстановленияБезопасная настройка
компонентовУправление конфигурациями и изменениями
Управление доступом Регистрация и сбор событий безопасности
Защита от вредоносного ПО
Контроль защищенности
Организационные меры (Политика ИБ, обучение персонала, расследования)
Физическая безопасность и ИТСО
Допускает унифицированную
реализацию
Большая разнообразность и зависимость от конечной системы
Целесообразно реализовывать как элемент АСУ ТП
САМСИБ - система анализа и мониторинга состояния ИБ
9
Основные функции САМСИБ
10
Сбор и обработка событий ИБ
Основные функции САМСИБ
• Сбор событий ИБ • Корреляция событий ИБ • Выявление инцидентов ИБ
10
Сбор и обработка событий ИБ
Основные функции САМСИБ
• Сбор событий ИБ • Корреляция событий ИБ • Выявление инцидентов ИБ
Обнаружение сетевых атак и аномалий
• Обнаружение атак • Выявление сетевых аномалий
10
Сбор и обработка событий ИБ
Основные функции САМСИБ
• Сбор событий ИБ • Корреляция событий ИБ • Выявление инцидентов ИБ
Контроль состояния ИБ
Контроль конфигураций • Сбор конфигураций • Выявление изменений конфигураций
Инвентаризация ОЗ • Определение текущего состава ОЗ • Выявление изменений в составе ОЗ • Передача информации об ОЗ в КСУИБ
Контроль соответствия требованиям ИБ и контроль защищенности • Проверка ОЗ на наличие уязвимостей • Оценка выполнения требований безопасной конфигурации
• Формирование отчетов • Передача отчетов в КСУИБ
Обнаружение сетевых атак и аномалий
• Обнаружение атак • Выявление сетевых аномалий
10
АСУ ТП
Уровень филиала
Уровень площадки/комплекса
Уровень Администрации
Функциональная структура САМСИБ
СДКУ, СППДР
СДКУ, СЛТМ
АСУ ТП, САУ
11
Функциональные блоки САМСИББлок Функции блока Размещение в иерархии АСУ
ТППользователь
блока
Блок мониторинга
• Сбор событий ИБ • Обнаружение атак • Выявление сетевых аномалий • Сбор конфигураций • Определение текущего состава ОЗ • Выявление изменений в составе
ОЗ • Проверка ОЗ на наличие
уязвимостей
Нет
Блок корреляции
• Корреляция событий ИБ • Выявление изменений
конфигураций Администратор ИБ
Блок оценки • Выявление инцидентов ИБ • Оценка выполнения требований
безопасной конфигурации • Формирование отчетов • Интеграция с КСУИБ
Отдел ИБ
Уровень Администр.
Уровень филиала
Уровень площадки
Уровень Администр.
Уровень филиала
Уровень площадки
Уровень Администр.
Уровень филиала
Уровень площадки12
Режимы функционирования блока мониторинга
Функции блока мониторинга Пассивный мониторинг
Активный мониторинг
Сканирование защищенности
Сбор событий ИБ
Обнаружение атак
Выявление сетевых аномалий
Сбор конфигураций
Определение текущего состава ОЗ
Выявление изменений в составе ОЗ
Проверка ОЗ на наличие уязвимостей
Пассивный мониторинг: однонаправленное получение информации, мониторинг на основе анализа сетевого трафика, без воздействия на компоненты АСУ ТП
Сканирование защищенности: выявление уязвимостей компонентов АСУ ТП
Активный мониторинг: взаимодействие с компонентами АСУ ТП (запрос-ответ), сбор конфигураций и событий
13
Варианты реализации САМСИБ
Комплекс традиционных
средств
Комплекс специализированных средств отечественной разработки
Комплекс специализированных средств иностранной разработки
Контроль конфигураций компонентов АСУ ПТК Max Patrol DATAPK Industrial
Defender
Инвентаризация объектов защиты Max Patrol DATAPK Industrial Defender
Управление событиями безопасности ArcSight DATAPK Industrial Defender
Обеспечение сетевой безопасности (выявление комп. атак)
Check Point DATAPK Industrial
Defender
Автоматизация контроля соответствия требованиям ИБ и контроля защищенности Max Patrol DATAPK Industrial
Defender
Мероприятия по обеспечению ИБ
Вариант реализации
14
Сравнение вариантов реализации
Комплекс традиционных средств
Комплекс специализированных средств отечественной
разработки
Комплекс специализированных средств иностранной
разработки
Требования к вычислительной инфраструктуре
Требуется установка агентов на СВТ АСУ ТП
Безагентная система
Требуется установка агентов на СВТ АСУ ТП
Возможности по контролю за нагрузкой на каналы связи
• Расписание использования каналов связи
• Ограничение полосы пропускания
• Расписание использования каналов связи
• Ограничение полосы пропускания
• Расписание использования каналов связи
• Ограничение полосы пропускания
Объем передаваемых данных между уровнями иерархии
Значительный Минимальный Значительный
Параметр сравнения
Вариант
15
Сравнение вариантов реализации (2)
Комплекс традиционных средств
Комплекс специализированных средств отечественной
разработки
Комплекс специализированных средств иностранной
разработки
Требования к инженерной инфраструктуре
• Монтажный шкаф • Кондиционирование • Гарантированное
электроснабжение
Соответствуют требованиям компонентов защищаемой АСУ ТП
• Монтажный шкаф • Кондиционирование • Гарантированное электроснабжение
Степень реализации функций системы
Избыточная Достаточная Достаточная
Порядок стоимости
Параметр сравнения
Вариант
16
Реализация САМСИБПрограммно-технические средства
Реализуемые функциональные блоки
Обозначение Наименование Производитель
DATAPK (уровня предприятия) ООО «УЦСБ»
• Блок анализа • Блок корреляции • Блок мониторинга
DATAPK (уровня филиала) ООО «УЦСБ
• Блок корреляции • Блок мониторинга
DATAPK (уровня технологического комплекса)
ООО «УЦСБ
• Блок мониторинга
17
Результаты применения Системы анализа и мониторинг состояния ИБ
САМСИБ• Раннеевыявлениепопытокосуществленияатак• Предоставлениеполнойинформациидля
предотвращенияреализацииугрозыИБ• Выявлениеимеющихсяуязвимостей• ЭффективныйконтрольсостоянияИБ
18
Результаты применения Системы анализа и мониторинг состояния ИБ
Подготовка Реализация ЗавершениеВремя
САМСИБ• Раннеевыявлениепопытокосуществленияатак• Предоставлениеполнойинформациидля
предотвращенияреализацииугрозыИБ• Выявлениеимеющихсяуязвимостей• ЭффективныйконтрольсостоянияИБ
18
Результаты применения Системы анализа и мониторинг состояния ИБ
Подготовка Реализация ЗавершениеВремяStuxnet
Больше1года
САМСИБ• Раннеевыявлениепопытокосуществленияатак• Предоставлениеполнойинформациидля
предотвращенияреализацииугрозыИБ• Выявлениеимеющихсяуязвимостей• ЭффективныйконтрольсостоянияИБ
18
Результаты применения Системы анализа и мониторинг состояния ИБ
Подготовка Реализация ЗавершениеВремяStuxnet
Больше1года
САМСИБ• Раннеевыявлениепопытокосуществленияатак• Предоставлениеполнойинформациидля
предотвращенияреализацииугрозыИБ• Выявлениеимеющихсяуязвимостей• ЭффективныйконтрольсостоянияИБ
18
Благодарю за внимание!
Антон Ёркин ООО «УЦСБ» 620026, Екатеринбург, ул. Ткачей, д.6Тел.: +7 (343) 379-98-34Факс: +7 (343) [email protected]