ПОДХОД «ЛАБОРАТОРИИ КАСПЕРСКОГО» К ЗАЩИТЕ ИНДУСТРИАЛЬНОЙ СЕТИ Георгий Шебулдаев
ПОДХОД «ЛАБОРАТОРИИ КАСПЕРСКОГО» К ЗАЩИТЕ ИНДУСТРИАЛЬНОЙ СЕТИ
Георгий Шебулдаев
STUXNET
2
6 10
300
Flame Gauss Stuxnet
Первый общеизвестный пример кибер-оружия, 2010 год
► Сложная вредоносная программа, нацеленная на индустриальные системы; более 300,000 инцидентов в мире. «Лаборатория Касперского» принимала участие в глобальном расследовании; наши аналитики обнаружили ключевые детали в структуре Stuxnet.
► «Лаборатория Касперского» обнаружила следующие поколения кибер-оружия: Gauss, Flame, NetTraveler, RedOctober, IfceFog и т.д.
Approximate number of incidents (k)
Threat landscape
АТАКИ НА КРИТИЧЕСКУЮ ИНФРАСТРУКТУРУ ПРОДОЛЖАЮТСЯ
3 Threat landscape
ICS-CERT 2013 год
u 256 Инцидентов
u 20% - Технологические сети
u 56% - Энергетический сектор
«Control System Security Survey», SANS, 2014
u 9% специалистов уверены в отсутствии уязвимостей
u 16% признались о том что не построен процесс поиска уязвимостей
НЕМНОГО СТАТИСТИКИ
HMI 8% Wifi
5%Mobile Devices4%
Корпоративные сети33%Удаленный доступ
25%
Интернет соединения
8%
Внешние подрядчики9%
USB порты8%
Вирусные атаки; 35%
SCADA неисправно
сти; 19 %
Ошибки операторов;
11%
Ошибки ПО; 23%
Другие; 12%
Основные причины инцидентов в индустриальных сетях, RISI Annual Summary 2013
35% - вирусные атаки. Методы проникновения.
ЧТО ЗАТРУДНЯЕТ ПОСТРОЕНИЕ ЗАЩИТЫ?
5
►Недостаточная осведомленность, смесь слухов и реальности, недостаток данных
►Информационные системы в промышленности:►Старые►Незащищенные►С трудом поддаются обновлению
►Типовые «офисные» средства ИБ не подходят
►Недостаток навыков ИБ, и обще-принятой практики ИБ АСУ ТП
Threat landscape
ПРИЧИНЫ ИНЦИДЕНТОВ
6
ТАРГЕТИРОВАНЫЕ КИБЕРАТАКИ
§ Шпионаж, саботаж, кража данных, могут вестись одновременно в корпоративных и промышленных сетях;
§ Могут обходить средства защиты в чрезвычайных ситуациях;
§ Могут эффективно скрываться от систем комплексного мониторинга и аудита безопасности;
§ Предназначены для долгосрочного скрытого присутствия в целевых системах;
§ Трудно определить использованный метод проникновения.
СЛУЧАЙНЫЕ ЗАРАЖЕНИЯ И СЕТЕВЫЕ АТАКИ
§ Промышленные информационные системыуязвимы для "непромышленных" угроз, таких каксетевые атаки,черви итп
§ Высокая вероятность случайного заражения илиатаки;
§ Быстрое распространение атаки;
§ Могут нарушить функционирование управляющейединицы (любой SCADA компонент, в том числе, иHMI ПЛК);
§ Трудно установить источник и способ заражения;
§ Не всегда возможно полностью устранитьзаражение информационной системы, что делаетвозможнымиповторные эпидемии;
ПРИЧИНЫ ИНЦИДЕНТОВ
7
ОШИБКИ ОПЕРАТОРОВ И ИНЖЕНЕРОВ
§ Не могут быть устранены лишь организационными мерами;
§ Сложно предсказать и моделировать;
§ Зачастую не могут быть определены техническими мерами, что затрудняет анализ и расследование инцидентов.
ДЕЙСТВИЯ ИНСАЙДЕРОВ
§ Осведомлены о технологических процессах;
§ Способны найти слабые места в промышленных системах безопасности;
§ Способны обойти системы аудита / мониторинга;
§ Могут находиться в сговоре с операторами системы управления.
ПОДХОД К ЗАЩИТЕ ИНДУСТРИАЛЬНЫХ ОБЪЕКТОВ
8
ВЕРХНИЙ УРОВЕНЬ SCADAСИСТЕМ
9
§ Уязвимые Windows-ПК используемые в технологических сетях;
§ Доступ к ERP/MES системам или Интернет;
§ Неконтролируемое использование приложений;
§ Неавторизованное подключение 3G модемов/точек доступа;
ВЕКТОРЫ АТАК§ Неконтролируемое использование USB
накопителей;
§ Неконтролируемое использование устройств контрагентов/подрядчиков на технологических площадках;
§ Использование уязвимых необновляемыхприложений;
ПРОДУКТЫKaspersky Endpoint Security (Industrial Mode)
Critical Infrastructure Protection (CIP Endpoint) – релиз Q4 2015
ВЕРХНИЙ УРОВЕНЬ SCADAСИСТЕМ
10 Kaspersky Lab Strategy
Виды угроз Технологии «Лаборатории Касперского»
Вирусы, трояны, эксплойты , угрозы «нулевого дня»
Передовое антивирусное ядро объединяющее сигнатурные, эвристические, проактивные и облачные технологии IT-безопасности
Сетевые атаки на промышленные узлы Системы обнаружения и блокировки сетевых атак, сетевой экран
Запуск нежелательного ПО на АРМе операторов/инженеров
Контроль запуска программ на основе черных и белых списков, а также применение сценариев «Запрет по умолчанию» и «Разрешение по умолчанию»
Уязвимости в технологическом программном обеспечении Мониторинг уязвимостей
Подключение несанкционированных устройствКонтроль устройств, позволяющий ограничивать подключение устройств на основе типа, серийного номера или способа подключения устройства
Вероятность блокировки антивирусным ПО промышленного ПО
Проведение сертификации на совместимость с ведущими промышленными вендорами (Siemens, Rockwell и т.д.). Система предварительной проверки антивирусных баз
ЛОЖНЫЕ СРАБАТЫВАНИЯ
Internet
DMZ
Workstation
Update Agent
Notebook
Email Server
File Severs
1
Corporate Network
Kaspersky Security Center
2
Testing the updates
3 4
Data historianConfiguration server
Data collection
server
Engineering workstationHMI5
1. Download AV Updates on the UA
2. Download AV Updates on the KSC
3. Testing AV Updates on the test stand
4. Test Result5. Updating AV clients in the
Industrial Network
11
Industrial Network
Необходимо производить проверку обновлений перед развертыванием их на защищаемые объекты.
СЕРТИФИКАЦИЯ И ПАРТНЁРСТВА
12
СРЕДНИЙ УРОВЕНЬ SCADAСИСТЕМ
13
• Несанкционированное подключение устройств;
• Нелегитимное обновление прошивок устройств;
• Отправка нелегитимных управляющих команд с целью нарушения ТП;
• Внесение изменений в данные, передаваемые по технологической сети;
ВЕКТОРЫ АТАК
ПРОДУКТ
Kaspersky Trusted Monitoring System (TMS)
СХЕМА ПОДКЛЮЧЕНИЯ KTMS
14 Kaspersky Lab Strategy
СРЕДНИЙ УРОВЕНЬ SCADAСИСТЕМ
15
Меры по обеспечению безопасности Функционал TMS
Контроль целостности технологической сети TMS NAC
Обнаружение сетевых аномалий TMS IPS
Обнаружение управляющих команд, приводящих к нарушению ТП TMS DPI
Мониторинг событий безопасности TMS UI, KSC
Построение корреляций между событиями в технологической сети и прочими событиями безопасности TMS SIEM Integration
Оценка хронологии инцидента, масштабов его распространений и нанесенного ущерба TMS Logging
KASPERSKY TRUSTED MONITORING SYSTEM
ОСНОВНЫЕ ЗАДАЧИ
17 Kaspersky Lab Strategy
Контроль целостности сетиИдентификация устройств в сети.Обнаружение новых устройств в режиме реального времени.Уведомление о подключении новых устройств.
Контроль целостности PLC-проектовРегулярное отслеживание изменений микропрограмм PLC.Оповещение о незапланированных изменениях.
Обнаружение сетевых аномалийДетектирование нелигитимныхкоманд и сетевого трафика, выводящих из строя системы управления (SCADA, HMI, PLC).Обнаружение в индустриальной сети присутствия вредоносного ПО, локализация очагов заражения.Обнаружение в индустриальной сети действий злоумышленников, не использующих вредоносное ПО.
Обнаружение управляющих команд, приводящих к нарушению технологического процесса
Обнаружение команд на остановку/перезагрузку/перепрошивкуPLCОбнаружение команд, устанавливающих недопустимые/нежелательные значения ключевых параметров управления технологическим процессом
СРЕДНИЙ УРОВЕНЬ SCADAСИСТЕМ
18 Kaspersky Lab Strategy
Виды угроз Технологии «Лаборатории Касперского»
Несанкционированное изменениетехнологического процесса из за ошибок оператора или вредоносного воздействия
Модули контроля и мониторинга информационного взаимодействия между промышленными объектами в технологической сети
Появление несанкционированных сетевых устройств внутри технологической сети
Контроль целостность вверенного участка технологической сети, позволяющий обнаруживать появление в ней новых сетевых устройств
Изменение целостности прошивокконтроллеров Контроль целостности прошивок защищаемых контроллеров
СотрудникиИБ не оповещены о состоянии технологической сети Система мониторинга состояния технологичеких процессов
КОМПЛЕКСНЫЕ ПРОЕКТЫ ПО ПОСТРОЕНИЮ ПОДСИСТЕМ КИБЕРБЕЗОПАСНОСТИ АСУТП
ОСНОВНЫЕ ЗАДАЧИ
20
Уровни защиты Продукты для защиты индустриальной сети
Корпоративная сеть • Kaspersky Total Security для бизнеса;• Kaspersky Security for virtualization
Верхний уровень SCADAсистем
• Kaspersky Security for ICS (CIP)• Kaspersky Security Center • Kaspersky Anti-Virus for Windows Servers Enterprise Edition
Средний уровень SCADAсистем
Kaspersky Trusted Monitoring System
Проектированиеи внедрение
Kaspersky Professional Services
Поддержка MSA for ICS
ФОРМАТЫ СОТРУДНИЧЕСТВА
21
1) СОИСПОЛНИТЕЛИ В КОМПЛЕКСНЫХ ПРОЕКТАХ
• Участие экспертов ЛК в обследовании, pen-test’ах, построении модели угроз
• Участие в создании проектной документации
• Адаптация продуктов под нужды и процессы заказчика
• Участие во внедрении
• Сервисы расширенной поддержки
2) РЕФЕРЕНСНЫЕ ПРОЕКТЫ
• Выбор репрезентативной площадки
• Обследование экспертами ЛК
• Модель угроз, рисков
• Внедрение средств защиты ЛК
СПАСИБО