02.06.17

Первый.Сертифицированный.DATAPK

НиколайДомуховскийДиректор

ДепартаментасистемнойинтеграцииООО«УЦСБ»

-2-

Почему DATAPK такой?

Как выглядит атака на АСУ ТП?

Реализация«классической»

угрозыИБ

ВнесениеизмененийвработуАСУТП

НекорректнаяреализацияТП

ИБ

ПБ

Объектатаки:• АРМ,серверы,АСО• ОбщееПО

Цельатаки:• Закрепитьсявзащищаемом

периметре

Объектатаки:• ПЛК• СпециальноеПО

Цельатаки:• Получениевозможности

манипуляцииТП

Объектатаки:• ТОУ

Цельатаки:• НарушениереализацииТП• Порчаоборудования

-3-

Подготовка

Временной вектор атаки

Реализация Нанесениеущерба

Проактивная защита Активнаязащита Реактивнаязащита

Втрадиционныхсистемахвсе3стадиимогутпроходитьзасчитанныесекунды,вАСУТП– могутдлитьсягоды

-4-

Как можно защищаться?

Проактивная защита Активнаязащита Реактивнаязащита

Цельстратегии:� Недатьпроизойти

инцидентуСпособдостижения:� Блокировка

нежелательныхизмененийсостояниясистемы

Цельстратегии:� Выявитьатакувходе

реализацииСпособдостижения:� Анализ состояний

системысцельювыявленияподозрительныхизменений

Цельстратегии:� Минимизироватьущерб

отреализацииинцидента

Способдостижения:� Возврат системыв

целевоесостояние

-5-

Как реализует защиту DATAPK?

Смежнаясистема

Односторонний(псевдоодносторонний)каналсвязи

Непрерывныймониторинготклонений

Довереннаясистема• КонтрольцелостностиПОи

конфигурации(программнойиаппаратной)

• Контрольинформационныхпотоков• Отсутствиеинструментоввнесения

изменений(втомчисле,вконфигурации)

-6-

-7-

А какой он DATAPK?

Функциональная структура ПАК DATAPK

Каталогобъектовзащиты

Модульсбора ианализасобытийИБ

КаталогтребованийпоИБ

МодульуправленияконфигурациейОЗ

Модульоценкисоответствия

ипоискауязвимостей

Каталогуязвимостей

ЖурналсобытийИБ

МодульобеспеченияИБ

-8-

Режимы функционирования ПАК DATAPK

Модуль ФункцияПассивныймониторинг

Активныймониторинг

Сканированиезащищенности

УправлениеконфигурациейОЗ

ОпределениетекущегосоставаОЗВыявлениеизмененийвсоставеОЗ

Сборконфигураций

Выявлениесетевыханомалий

СборианализсобытийИБ СборсобытийИБ

Оценкасоответствияипоискуязвимостей

ПроверкаОЗнаналичиеуязвимостей

ОценкаОЗнасоответствиетребованиям

Пассивныймониторинг: однонаправленноеполучениеинформации,анализсетевоготрафика,безвоздействиянакомпонентыАСУПТК

Активныймониторинг: взаимодействиескомпонентамиАСУПТК(запрос-ответ),сборконфигурацийисобытий

Сканированиезащищенности: выявлениеуязвимостейкомпонентовАСУПТК

-9-

Реализация замкнутой программной среды с использованием ПАК DATAPK

Безопаснаяконфигурация:• Управлениедоступом• РегистрациясобытийИБ• Идентификацияи

аутентификация

Активныймониторинг:• УправлениеконфигурациейСканированиезащищенности:• Контрольсоответствия

требованиямИБ• Поискуязвимостей

Пассивныймониторинг:• Выявлениеизменений

составаОЗ• Выявлениесетевых

аномалий• СборсобытийИБ

-10-

Сбор событий ИБ

АктивныйсборсобытийИБ: передача/сборсобытийпопротоколам,поддерживаемымобъектомзащитыПассивныйсборсобытийИБ: использованиеоднонаправленногопротоколапередачисобытийнанесуществующийсерверсборасобытий,сборсобытийнаосновеанализакопиитрафика

-11-

Каталог объектов защиты

� Объектызащитыотображаютсяввидезаданнойиерархии

� Каждомутипуобъектазащитысоответствуетпиктограмма,используемаядлявизуализацииОЗ

� ЦветомвыделяютсяОЗ,длякоторыхприсутствуютнеобработанныеоператоровуведомления

-12-

Каталог объектов защиты

� ИерархическаяструктураОЗопределяетсяпользователемDATAPK

� АтрибутыОЗиспользуютсядляотображенияидляпроизвольнойфильтрацииОЗ

-13-

Визуализация каталога ОЗ

� НакартеотображаютсяОЗиинформационныепотокимеждуними(логическиесвязи)

� Неодобренныеоператороминформационныепотокиподсвечиваютсякраснымцветом

-14-

Управление конфигурацией

� Конфигурацияразделяетсянапонятныеоператоруэлементы,длякаждогоизкоторыхформируютсясобственныеправилаотображенияиконтроля

� Длявыбранногоэлементаконфигурациинаглядноотображаютсявыявленныеизмененияотносительноэталона

-15-

Оценка ОЗ и анализ уязвимостей

Описаниеуязвимости/оценкисоответствиянаязыкеOVAL

ИнтерпретаторOVAL

Элементыконфигурации Правиласравнения

Сборщикиконфигурации Результатпроверки

-16-

Оценка ОЗ и анализ уязвимостей

Описаниеуязвимости/оценкисоответствиянаязыкеOVAL

ИнтерпретаторOVAL

Элементыконфигурации Правиласравнения

Сборщикиконфигурации Результатпроверки

-17-

Обеспечения ИБ ПАК DATAPK. Внутренняя архитектура

Web-браузер

Эмулятортерминала

Сторонниерешения

Web-серверКомандныйпроцессор

Слойосновнойлогикиприложения

Слойдоступа

Объектызащиты

Интеграциясостороннимиприложениями(атакжедругимиDATAPK)реализовананабазеRESTAPI– наиболеераспространенногоспособаинтеграциисовременныхприложений,позволяющегоорганизоватьсвязьсистемвтомчислебезучастияразработчиков

Разграничениедоступареализованонауровнеосновнойлогикиприложения,чтообеспечиваетконтрольдоступа,независимоотиспользуемогомеханизмадоступаСлойдоступареализуетограниченныйнабороперацийвзаимодействиясОЗ,чтонепозволяетиспользоватьDATAPKдлявредоносноговоздействиянаОЗдажевслучаеегокомпрометации

-18-

Достижения (о которых можно рассказывать)

на сегодня

• СовместныеиспытаниясразработчикамиАСУТП(Вега-ГАЗ,Emerson)

• Пилоты(холдинг«Евраз»,ПАО«Северсталь»)• СертификатФСТЭК

-19-

…иэтотольконачало

Благодарю за внимание!

Николай ДомуховскийООО «УЦСБ»620100, Екатеринбург, ул. Ткачей, д.6Тел.: +7 (343) 379-98-34Факс: +7 (343) 382-05-63info@ussc.ruwww.USSC.ru

-20-