Решения для ИБ АСУ ТП Алексей Комаров Менеджер по развитию решений Уральский Центр Систем Безопасности Челябинск 22 сентября 2016 года
Решения для ИБ АСУ ТП
Алексей Комаров Менеджер по развитию решений
Уральский Центр Систем БезопасностиЧелябинск 22 сентября 2016 года
• Типичные инциденты ИБ в АСУ ТП и их причины
• Выбор стратегии защиты • Решения по обеспечению ИБ АСУ ТП
• Классы решений • Экспресс-обзор рынка решений по мониторингу ИБ АСУ ТП
• Комплексный подход к ИБ АСУ ТП
Содержание
Наш опыт в ИБ АСУ ТП
• Разработка корпоративных стандартов • Аудиты действующих АСУ ТП • Проектирование СОИБ АСУ ТП • Ввод в эксплуатацию и поддержка систем обеспечения ИБ АСУ ТП • Разработка собственного решения - DATAPK
3
Число инцидентов по годам• В 2015 инцидентов ИБ АСУ ТП зафиксировано на 15% больше, чем в любом из прошлых лет. Рост год к году составил 20%.
• Из 314 опрошенных компаний-владельцев АСУ ТП в 2015 году • 34% подтвердили, что сталкивались с инцидентами более двух раз за последний год,
• из них 44% не смогли определить источник атаки.
4источники: ICS-CERT, SANS
5источники: ICS-CERT, Booz Allen
Примеры инцидентов и их последствия
В АСУ ТП происходят инциденты ИБ
6
Дата Страна Инцидент
дек 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод.
июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы.
фев 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища.
март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании.
июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы
июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера
сент 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
дек 2015 США Иранские хакеры атаковали дамбу в Нью-Йорке
дек 2015 Украина Замминистра энергетики США обвинила Россию в организации блэкаута на Украине
март 2016 Япония Хакеры случайно получили доступ к SCADA-системе водоочистной станции и ради интереса изменили ее настройки
апр 2016 Германия На компьютерах германской АЭС нашли малварь
Некоторые инциденты ИБ АСУ ТП, источники: СМИhttp://ZLONOV.ru (ИБ АСУ ТП -> инциденты)
Типичные инциденты ИБ в АСУ ТП и их причины• Халатность • Направленные атаки • Хищение
Что может случиться на практике?• Халатность
• Подключение внешних устройств (носители информации, модемы и пр.)
• Подключение сторонних СВТ (свой ноутбук для игр) • Направленные атаки
• Шпионаж • Саботаж
• Хищение • Сырья, готовой продукции • Ресурса производственной линии (изготовление неучтенной продукции)
8
Халатность
9
НаладчикрешилбыстренькопочитатьсправкупоSCADA вИнтернете
Операторрешилпосмотретьфотографиисотпуска
Подключениесъемногоносителя
ЗаражениевредоноснымПО
НарушениеработыСВТ
Блокированиедоступак
СВТ/информации
Подключение3G-модема
АтаканаСВТсцельювключенияв
ботсеть
НарушениеработыЛВС
10
11
12
Направленная атака на АСУ ТП
13
Реализация«классической»
угрозыИБ
ВнесениеизмененийвработуАСУТП
НекорректнаяреализацияТП
ИБ
ПБ
Объектатаки:• АРМ,серверы,АСО• ОбщееПО
Цельатаки:• Закрепитьсявзащищаемом
периметре
Объектатаки:• ПЛК• СпециальноеПО
Цельатаки:• Получениевозможности
манипуляцииТП
Объектатаки:• ТОУ
Цельатаки:• НарушениереализацииТП• Порчаоборудования
Хищение
14
ВнесениеизмененийвработуАСУТП
Некорректныйучетресурсов
Объектатаки:• ПЛК• СпециальноеПО
Цельатаки:• Получениевозможности
манипуляцииТП
Объектатаки:• ТОУ
Цельатаки:• НарушениереализацииТП• Порчаоборудования
Выбор стратегии защиты• Временной вектор атаки • Выбор стратегии защиты • Жизненный цикл АСУ ТП • Факторы и мероприятия ИБ • Модель защиты АСУ ТП
Временной вектор атаки
16
Подготовка Реализация Нанесениеущерба
Проактивная защита Активнаязащита Реактивнаязащита
В традиционных системах все 3 стадии могут проходить за считанные секунды, в АСУ ТП –
могут длиться годы
Выбор стратегии защиты
17
Проактивная защита Активнаязащита Реактивнаязащита
Цельстратегии:� Недатьпроизойти
инцидентуСпособдостижения:� Блокировка
нежелательныхизмененийсостояниясистемы
Цельстратегии:� Выявитьатакувходе
реализацииСпособдостижения:� Анализ состояний
системысцельювыявленияподозрительныхизменений
Цельстратегии:� Минимизироватьущерб
отреализацииинцидента
Способдостижения:� Возврат системыв
целевоесостояние
Жизненный цикл АСУ ТП
• Упрощённо жизненный цикл АСУ ТП можно представить в виде четырёх основных этапов:
• Отдельно нужно рассматривать этап модернизации, когда система фактически проходит упрощённый вариант подцикла Проектирование - Создание - Эксплуатация.
18
Жизненный цикл СОИБ
• Система обеспечения информационной безопасности (СОИБ) точно также проходит соответствующие этапы жизненного цикла:
• в идеальном случае этапы жизненного цикла СОИБ по времени совпадают с этапами жизненного цикла самой АСУ ТП
19
Особенности этапа эксплуатации АСУ ТП• Самая протяжённая во времени стадия жизненного цикла • АСУ ТП не является неизменной:
• изменение конфигураций компонентов АСУ ТП,
• обновление программного обеспечения, • замена компонентов, вышедших из строя и т.п.
• Может поменяться перечень актуальных угроз • выявления в компонентах АСУ ТП новых уязвимостей
• Могут модифицироваться сами требования обеспечения ИБ • изменения законодательных или отраслевых требований, • пересмотр корпоративной политики
20
Факторы и мероприятия ИБ
21
Факторы Мероприятия ИБ
Изменение компонентов АСУ ТП и/или их конфигураций
• Инвентаризация компонентов АСУ ТП• Контроль конфигураций компонентов АСУ ТП
• Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП
Возникновение новых уязвимостей
• Контроль защищённости компонентов АСУ ТП
• Обнаружение компьютерных атакИзменение требований по обеспечению ИБ
• Контроль соответствия требованиям по обеспечению ИБ
Проектирование ИБ АСУ ТП
• Какие решения выбрать? • Оценка влияния на АСУ ТП? • Одобрение производителей АСУ ТП?
• Бюджет?
22
Внедрение/сопровождение ИБ АСУ ТП
• Основания для модернизации/подключения? • Как проводить приёмо-сдаточные испытания? • Кто отвечает за эксплуатацию?
• Кто несёт ответственность? • Какие гарантии? • Срок гарантии?
23
Оптимальный (?) вариант
• Поставка решений по ИБ в составе самих АСУ ТП • ИБ - встроенный функционал • Единая гарантия и пр.
• НО! • Только для новых/модернизируемых систем
24
Модель защиты АСУ ТП
25
Смежнаясистема
Односторонний(псевдоодносторонний)каналсвязи
Непрерывныймониторинготклонений
Довереннаясистема• КонтрольцелостностиПОи
конфигурации(программной иаппаратной)
• Контрольинформационныхпотоков• Отсутствиеинструментоввнесения
изменений(втомчисле,вконфигурации)
Решения по обеспечению ИБ АСУ ТП• Классы решений • Экспресс-обзор отечественных решений по мониторингу ИБ АСУ ТП
• Возможности комплексного решения по реализации концепции непрерывного мониторинга состояния ИБ
Классы решений в области ИБ АСУ ТП• Средства мониторинга• Сканеры защищённости • Однонаправленные диоды
• Промышленные межсетевые экраны • Криптографические модули и СКЗИ • Специализированные СЗИ от НСД*
27* - формально они существуют, но на практике почти не применяются
Решения по мониторингу ИБ АСУ ТП
28
InfoWatch ASAP
• Состав решения: • InfoWatch ASAP
• Основные функции решения: • Выявление несанкционированных подключений к каналам связи АСУ ТП
• Поиск аномалий протекания ТП
• Особенности решения: • Устанавливается в разрыв каналов связи (в том числе полевого уровня)
29
Positive Technologies ISIM• Состав решения:
• PT ISIM
• PT MaxPatrol
• Основные функции решения: • Сбор, анализ, корреляция событий ИБ • Визуализация атак • Поиск уязвимостей • Контроль конфигураций на соответствие требованиям по ИБ
• Особенности решения: • Работа в пассивном режиме (PT ISIM)
30
Kaspersky Industrial CyberSecurity• Состав решения:
• KICS4Nodes
• KICS4Networks
• Основные функции решения: • Контроль приложений и съемных устройств на СВТ под управлением ОС Windows
• Анализ сетевого трафика, направленного на ПЛК
• Особенности решения: • Требует установки агентов на СВТ (KICS4Nodes)
• Работа в пассивном режиме (KICS4Networks)
31
DATAPK• Состав решения:
• ПАК DATAPK
• Основные функции решения: • Ведение каталога ОЗ, выявление изменений в составе ОЗ • Анализ сетевых потоков • Сбор, анализ, корреляция событий ИБ • Поиск уязвимостей, контроль соответствия требованиям
• Управление конфигурацией ОЗ
• Особенности решения: • Работа в пассивном режиме
32
Функции системы мониторинга (пример)
• Инвентаризация компонентов АСУ ТП • Контроль конфигураций компонентов АСУ ТП • Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП • Контроль защищённости компонентов АСУ ТП • Обнаружение компьютерных атак • Контроль соответствия требованиям по обеспечению ИБ
33
Функциональная структура системы мониторинга (пример)
34
Каталогобъектовзащиты
Модульсбора ианализасобытийИБ
КаталогтребованийпоИБ
МодульуправленияконфигурациейОЗ
Модульоценкисоответствия
ипоискауязвимостей
Каталогуязвимостей
ЖурналсобытийИБ
МодульобеспеченияИБ
Комплексный подход к ИБ АСУ ТП• Построение комплексного решения • Безопасность – процесс, а не продукт
Построение комплексного решения• Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии
36
Приказ ФСТЭК России от 14.03.2014 №31
КСПД
Построение комплексного решения• Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии
37
Приказ ФСТЭК России от 14.03.2014 №31
КСПД
Построение комплексного решения
38
РазработкатиповойархитектурысистемызащитыдляклассаАСУ(САУ,
АСДУ,АСУЭипр.)
РазработкастандартабезопасностиотдельныхкомпонентовАСУ(ОС,
SCADA,АСО,ПЛК)
Разработкамероприятийпореализациистандартабезопасности:безопаснаяконфигурация,порядок
использования,внешниеСрЗИ
Унификац
ияп
одходов
Автоматизация
методовко
нтроля
Безопасность – процесс, а не продукт
39
УправлениеИБ
Подготовка,планирование Проектирование
Вводвдействие,модернизация
Постояннаяэксплуатация
Аудит
Консалтинг
Моделирование,подборрешений Разработка
архитектуры
Разработкапроектнойдокументации
Обучение
РазработкапакетаОРД
Инсталляция
Оценкасоответствия
Сопровождение
Техническоеобслуживание
Спасибо за внимание!
Алексей Комаров
http://ZLONOV.ru @zlonov
Компания УЦСБТел.: +7 (343) 379-98-34
E-mail: [email protected] www.USSC.ru