Кибербезопасность Industrial IoT: мировые тенденции Алексей Лукацкий Бизнес-консультант по безопасности © 2017 Cisco and/or its affiliates. All rights reserved.
Apr 11, 2017
Кибербезопасность Industrial IoT: мировые тенденции
Алексей ЛукацкийБизнес-консультант по безопасности
© 2017 Cisco and/or its affiliates. All rights reserved.
• Сайт журналиста Брайна Кребса подвергся DDoS-атаке мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в секунду)• В атаке участвовало множество IoT-устройств – IP-камеры,
маршрутизаторы, DVR (digital video recorder)• Интернет-провайдер OVH подвергся DDoS-атаке
мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч IoT-устройств• В атаке участвовало множество IoT-устройств – IP-камеры и DVR
(digital video recorder)
Что произошло 20 сентября 2016 года?
А кто это?
• Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт• Интернет-дефибриллятор
• Червь, распространяющийся через кардиостимуляторы• Что насчет массового убийства?
• Дистанционный взлом инсулиновых помп
Чем известен Барнаби Джек?
А что нам угрожает?
What about a Stuxnet-style exploit?
2009!
Но проблема возникла раньше
Один из первых примеров кибервойн –1982 год
Кибервойны
Промышленный шпионаж
Конкуренты
Зачем атаковать Industrial IoT?
© 2015 Cisco and/or its affiliates. All rights reserved. 11
Зарубежные покупки Китаем активов ТЭК и кибератаки на них
Framework for LNG deal with Russia
LNG deal with Uzbekistan
LNG deal with Australia
LNG deal with Australia
LNG deal with France
Finalization of South Pars Phase 11 with Iran
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with Shell
LNG deal with Exxon
Shale gas deal with Chesapeake Energy in Texas
Aggressive bidding on multiple Iraqi oil fields at auction
Purchase of major stake in a second Kazakh oil company
China-Taiwan trade deal for petrochemicals
Purchase of Rumaila oil field, Iraq, at auction
McKay River and Dover oil sands deal with Athabasca, Canada
Development of Iran’s Masjed Soleyman oil field
Oil development deal with Afghanistan
Purchase of major stake in Kazakh oil company
2012201120102009 20132008
ShadyRAT(U.S.
naturalgaswholesaler
)
NightDragon
(Kazakhstan,Taiwan,Greece,U.S.)
Атака на промышленную сеть через Facebook
Злоумышленник нашел в Facebookоператора ночной
смены
Злоумышленник «подружился» с
оператором
Нарушитель ищет персональные
данные оператора
Нарушитель использовал социальный инжиниринг
Оператор открывает
фейковый линк и заражается
Нарушитель скачивает базу данных SAM &
подбирает пароль
Нарушитель входит в систему, запускает процедуру shutdown
Оператор реагирует очень
медленно (не верит, что это с
ним происходит!)
Злоумышленник меняет условия работы АСУ ТП
Удаленная площадка теряет
функцию удаленного запуска
Удаленная площадка остается
недоступной в течение 3+ дней
Снижение объемов переработки
нефтепродуктов
Отчет ICS-CERT за 2016 год
МЧС предупреждал, но в прошлом году
Российские ИБ-вендора тоже предупреждают
Лаборатория Касперского Positive Technologies
Российские ИБ-вендора предупреждают
Уязвимости в отечественном промышленном оборудовании находят
• Банк данных угроз и уязвимостей ФСТЭК России
• Содержит регулярно обновляемый перечень угроз и уязвимостей в ПО и «железе», используемом, преимущественно, на объектах в России
• http:///bdu.fstec.ru
Поэтому все-таки атаки на промышленный IoT входят в топ мировых рисков
Последниеинциденты
• Атака на АЭС в Японии в 2015-м году (стало известно только сейчас)
• Неправильное позиционирование зеркал на Ivanpah Solar Electric System привело к пожару (возможно ли сделать со злым умыслом?)
• Столкновение поездов в Казахстане и Баварии (киберпричина?)
• Атака на электроэнергетическую систему Украины с последующим обвинением России
• Атака на аэропорт «Борисполь»
Последние инциденты ИБ на критической инфраструктуре
• Обвинение иранцев в DDoS-атаке и взломе плотины около Нью-Йорка
• Регулярные демонстрации взломов автомобилей• Атака на систему электроэнергетики Израиля• Операция Dust Storm по атаке японских объектов ТЭК,
транспорта, финансов и т.п.• Создание первого червя для PLC Siemens, распространяемого
без ПК• Обнаружение на немецкой АЭС вируса
Последние инциденты ИБ на критической инфраструктуре
• Атака на ЖКХ-компанию Lansing Board of Water & Light в США• Атака на CMS управления данными о содержимом и
местонахождении кораблей (взлом пиратами контейнеров с бриллиантами)
• Атака на водоочистную систему Kemuri Water Company• КНДР атаковало почтовые ящики сотрудников ж/д Южной
Кореи• Атаки на АСУЗ (СКУД) и медицинские системы/датчики• Процедура катетеризации сердца пациента была прервана
антивирусом
Последние инциденты ИБ на критической инфраструктуре
• Атаки на критическую инфраструктуру Украины• Атаки на энергосистему Турции• Подозрения в обращении джихадистов к кибертерроризму
• Европол на ВЭФ в Давосе, Group-IB, французская ANSSI• Блокировка постояльцев в австрийской отеле Romantik
Seehotel• Атаки китайцев авиакосмических предприятий России и
Беларуси• Уволенный обиженный сотрудник удаленно внес изменения в
АСУ ТП бумажной фабрики Port Hudson
Последние инциденты ИБ на критической инфраструктуре
В последнее время много политизированных фейковых новостей
Почему все пока не очень хорошо?
Подключенные системы
Network Automation
Service Assurance
Connected Machines
Edge Analytics Fabric
Location Services
Factory Wireless
Облачные системы
Design Collaboration
Private and Hybrid Cloud
Ecosystem Security
Secure Remote Access
Network Architectures
Network Analytics
Network Security
Изолированные системы
Virtualize Everything
Public, Private & Hybrid Cloud
Объединенные системы
Cloud Analytics Platforms
Factory Network
Factory Security
Machine as a Service
Virtualization & Compute
Factory Collaboration
Asset Management
Supply Chain Collaboration (SXP)
Разные уровниавтоматизации
Пример: Границы и точки входа на атомной электростанции в США
АСУ ТП
ИБучие АСУчиватели
Умный транспорт
Цифровая подстанция
Smart Grid
Connected Factories
Mobile Devices Connected
Wind Turbines
Smart Street Lights
Connected Trucks
Connected Oil Platforms
Умный город
Умное производство
Connected Traffic Signals
Connected Machines
Облако / ЦОД
Connected Equipment
Connected Rail
Smart Buses
Различные объекты защиты
Подключение к Интернет
• Простой промышленного оборудования в результате атаки вредоносного кода
• Несанкционированное изменение рецептуры или логики процесса
• Вывод из строя системы управления цепочками поставок• Перехват управления оборудованием• Утечка данных о рецептах/логике работы или
характеристиках процесса на производстве• И куча традиционных офисных угроз
Разные объекты – разные киберугрозы
Разные стандарты кибербезопасности
Рекомендации и требования по ИБ
• Рекомендации FDA по ИБ медустройств• Рекомендации по ИБ систем управления водным транспортом• Рекомендации GSMA для разработчиков IoT• Новый приказ ФСТЭК по межсетевым экранам
• Тип «Д» – промышленные МСЭ
• Базовый уровень ИБ на КВО в Германии• Отчеты ENISA по Smart Grid, по CIIP и по транспорту• Рекомендации немецкого BSI по безопасности OPC UA
Новые документы, требования и рекомендации
…и еще несколько десятков различных стандартов
NIST CybersecurityFramework
Цель Cybersecurity Framework• Унификация подходов по
безопасности информационных систем в разных отраслях на протяжении всего жизненного цикла
• Унифицированные требования• Руководство по использованию
международных стандартов • Февраль 2014
• DCS• PLC• RTU• IED• SCADA• Safety Instrumented Systems
(SIS)• Ассоциированные
информационные системы• Связанные люди, сети и
машины
Основная парадигма
Основная сетевая модель
Покрываемые CSF направления
Ссылки на другие стандарты
Используемые стандарты
• Стандарты NIST 800-82 и 800-53• ISA/IEC-62443• ISO 27001/02• Стандарты ENISA• Стандарт Катара• Стандарт API• Рекомендации ICS-CERT• COBIT• Council on CyberSecurity (CCS)
Top 20 Critical Security Controls (CSC)
Российские требования
Какие документы уже есть?
• Документы ФСТЭК по КСИИ• Основы госполитики в области
обеспечения безопасности АСУ ТП КВО
• ФЗ-256• Указ Президента №31с• ПП-861 по уведомлению об
инцидентах на объектах ТЭК• Приказ ФСТЭК №31• Методические рекомендации по
созданию центров ГосСОПКИ
Разработаны
Законопроект
Внесение в ГосДуму
• Выполнение требований ФСБ по реагированию на инциденты
• Присоедине-ние к сетям электросвязи
• Новый регулятор (ФСТЭК или ФСБ)
• Категорирование объектов КИИ
Декабрь 2016
• Присоединение к ГосСОПКЕ
Законопроект
Принятие в первом чтении
• Исключение из надзора по ФЗ-294
• Уголовная ответственность
• Отнесение к гостайне
• Выполнение требований по ИБ
Январь 2016
• Установка средств обнаружения атак на сетях операторов связи
Принятие во втором чтении запланировано на весну 2017
Планы на ближайшее будущее (в России)
• Законопроект о безопасности критической информационной инфраструктуры и 20+ подзаконных актов
• 10+ документов ФСБ (по направлению ГосСОПКА)• Документы Правительства / Минэнерго
Повышение осведомленностии обучение
Стенды по промышленной ИБ
Киберучения: от мозгового штурма до реального взлома
Рост числа сертификаций по промышленной ИБ
GIAC Response andIndustrial Defense (GRID)
ISA/IEC 62443 Cybersecurity
CCNAIndustrial
Иные тенденции
Появление новых промышленных ИБ решений
• Нишевые решения по промышленной ИБ (преимущественно МСЭ)
• Промышленные ИБ от ИБ/сетевых производителей
• Решения по ИБ от производителей средств промышленной автоматизации
Cisco ISA 3000
Cell/Area ZoneУровни 0-2
Индустриальнаязона
Уровень 3
Буфернаязона
(DMZ)
Контроль в реальном времениКонвергенция
Multicast Traffic
Простота использования
СегментацияМультисервисные сетиБезопасность приложений и управления
Контроль доступа
Защита от угроз
Сеть предприятияУровни 4-5
Gbps Link for Failover Detection
Firewall & IPS
Firewall & IPS
Application ServersCisco
Catalyst Switch
Network Services
Cisco Catalyst6500/4500
Cisco Cat. 3750StackWise Switch Stack
Patch ManagementTerminal ServicesApplication Mirror
AV Server
Cell/Area #1(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2(Ring Topology)
Cell/Area #3(Bus/Star Topology)
Controller
Интеграция в сеть предприятияUCWirelessApplication Optimization
Web Apps DNS FTP
Internet
Identity Services Engine
Архитектура Ethernet-to-the-Factory (ETTF)
Архитектура ИБ производства от Cisco
WWW Приложения
DNS FTP
Интернет
Гигабитный канал для определения
аварийного переключения
Межсетевой экран
(активный)
Межсетевой экран
(режим ожидания)
Серверы производствен
ных приложений
Коммутатор уровня доступа
Сетевые сервисы
Коммутаторы уровня ядра
Коммутаторуровня
агрегации
Управление исправлениямиСервисы для терминального оборудованияЗеркало приложенийАнтивирусный сервер
Ячейка/зона 1(Резервная топология типа «Звезда»)
Диск
Контроллер
HMI Распределенный ввод-вывод
Контроллер
ДискДиск
HMI
Распределенный ввод-вывод
HMI
Ячейка/зона 2(Топология типа
«Кольцо»)
Ячейка/зона 3(Линейная топология)
Коммутатор уровня доступа 2
Контроллер
Ячейка/зонаУровни 0-2
Производственная зонаУровень 3
Демилитаризованная зонаУровень 3.5
Корпоративная сетьУровни 4-5
Усиленный межсетевой экранУсиленная система предотвращения вторжений (IPS)Удаленный мониторинг и наблюдениеУправление ПО, конфигурацией и активами
VPN и сервисы удаленного доступаМежсетевой экран нового поколенияСистема предотвращения вторжений (IPS)
Защита от угроз в облакеПрименение политик для всей сетиКонтроль доступа (на уровне приложений)
Межсетевой экран с сохранением состоянияЗащита и определение вторжений (IPS/IDS)Системы управления физическим доступом
Серв
исы
иде
нтиф
икац
ии
ISE
Cisco Connected Factory 3.5.0 – Wi-Fi
Продукты решения
Бизнес результат
Ключевые параметры
Уменьшение затрат
Factory Mobility• Mobile Controls visibility• Wireless tooling, I/O• Asset Tagging• Mobile video• Mobile Apps
• 1552 AP, 2600 AP, WLC• Stratix 5100 AP• Ent Mobility Svs Platform• IOE Site surveys
CVD от Ноября‘14Cell / Area Zone Level 0 – 2
Enterprise Zone Level 4 - 5
Industrial Zone Level 3
Industrial Demilitarized Zone
Catalyst 3750X
Catalyst4500/6500
ASA 55xx-X(Active)
ASA 55xx-X(Standby)
• Wide Area Network (WAN)• Physical or Virtualized Servers• ERP, Email• Active Directory (AD), AAA – Radius• Call Manager, etc.
Plant Firewalls:• Inter-zone traffic segmentation• ACLs, IPS and IDS• VPN Services – Remote Site Access• Portal and Terminal Server proxy
Web DNS FTP
CatalystSwitch
Internet
Cisco 5500 WLC
Cisco WLC
Anchor
Cisco WLC
Industrial Wireless CPWE 3.5.0
Catalyst2960-X
Catalyst2960-X
Catalyst2960-X
Catalyst2960-X
Failover
Outside
DMZ
DMZ
Inside
Active Directory Fedrated ServicesISE 34xx PAN, MnT, IPN
SiSi SiSi
Patch ManagementTerminal Services
Data ShareCisco Video Surveillance Data Share
Application ServerAV ServerFactoryTalk AssetCentre
FactoryTalk View Server, Clients & View StudioFactoryTalk Batch
FactoryTalk HistorianRSLinx Enterprise
FactoryTalk Security ServerCisco Video Surveillance Manager
1588 Precision Time Protocol ServiceActive Directory Federated Services
Remote Access ServerStudio 5000
Cisco 5500 WLC (redundancy option)
Controller
HMI
I/O I/O
WGB
I/O
Drive
WGB
Controller
I/O I/O
A P
A P
WGB
XWGB
Roaming I/OCell/Area #(Wireless Topology)
A P
A P
ISE Policy Service Node
БЛВС производства
Архитектура ИБ транспортного блока от Cisco
PTC
IPICSVSMS / VSOM
IP/MPLSДомен
UCS
WAN/ Ядро
Центр управления
Трансп. зона
Усиленный межсетевой экранУсил. система обнаружения вторжений (IDS)Удаленный мониторинг и наблюдениеУправление ПО, конфигурацией и активами
VPN и сервисы удаленного доступаМежсетевой экран нового поколенияСистема предотвращения вторжений (IPS)
Защита от угроз в облакеПрименение политик для всей средыКонтроль доступа на уровне приложений
Межсетевой экран с сохранением состоянияСистема обнаружения вторжений (IDS)Системы управления физическим доступом
Сер
висы
иде
нтиф
икац
ии
Сети безопасности и управления процессами
Offload
VSMS
PTC 3000
TMC
ОборудованиеМультисервисные сети
Архитектура ИБ ж/д транспорта от Cisco
Суб-архитектуры ИБ для железнодорожного транспорта
• Конвергентная сеть в вагонах и голове состава
• Поддержка Wi-Fi
• Предоставление расширенных сервисов пассажирам
• От SDN к MPLS/IP
• Конвергентная сеть
• Высокая пропускная способность для новых приложений
• Конвергентная сеть станции
• Поддержка Wi-Fi
• Предоставление расширенных сервисов пассажирам
Решение Connected Rail© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
1:05PM
Passenger Services Safety & Security Station Operations
PoE PoE
PoE ""
CIS SMS
Connected Train Connected Trackside Connected Station
Архитектура ИБ аэропорта от Cisco
MultitenantNetwork
CiscoConnectedAirport–ReferenceArchitecture(IssuedV1)ForMoreInformation:TedNugent–BDMAviationrunugent@cisco.comEnablingAirportstoCreateaSustainableInfrastructure
WANAggregation
OperationsControlTerminalHangarorWarehouse
PrimaryDataCentre
InternetEdgeTeleworker/MobileWorker
NetworkManagement
Freight/Cargooperations
AirportAdmin/Tenants
M&EInfrastructure Passenger,AirportStaff&AirlineWiFi
CloudServices
IPSoftPhoneTelePresenceMOVIVideoConferencingVirtualDesktopWAASMobile
AnyconnectVPNClient
VideoCommunicationServer(VCS)Expressway
TelePresence
TelePresence
IronportEmailSecurityAnti-Spam,Anti-Virus
DataLossPrevention(DLP)
IronportWebSecurityAcceptableUsePolicy(AUP)
MalwarePrevention
IPPhone WiFiAccessPointSCADA
DoorAccessControlVideoSurveillance
DigitalSignage
IPVideoPhone WiFiAccessPoint
DoorAccessControl
VideoSurveillance
TelePresence
DigitalSignage
IPVideoPhone WiFiAccessPoint
DoorAccessControl
VideoSurveillance
ASA5500Firewall
IntrusionPrevention(IPS)VirtualPrivateNetwork(VPN)
DoorAccessControl
AnalogueCamera
ISRG2RouterVPN
FirewallWireless
ASR1000RouterWebExNode
WANOptimisation(WAAS)
Catalyst6500VSSServicesLayer
FirewallServerLoadBalancing(ACE)
NetworkApplicationMonitoring(NAM)
Catalyst6500VSSCoreSwitch
DoorAccessControl
WiFiAccessPoint VideoSurveillanceVirtualMatrix
IPPhoneConsole
MDS9500SANSwitch
Storage
SAN
UnifiedComputingSystem(UCS)Blade
UnifiedComputingSystem(UCS)Blade
Nexus5000Switch
Nexus5000Switch
UnifiedComputingSystem(UCS)Blade
Nexus2000Switch
Nexus2000Switch
Nexus7000Core/AggregationSwitch
Nexus7000Core/AggregationSwitch
Catalyst6500VSSServicesLayer
FirewallServerLoadBalancing(ACE)
NetworkApplicationMonitoring(NAM)
MDS9500SANSwitch
Push-To-TalkRadio(IPICS)
DigitalSignage
IPVideoPhone
WiFiAccessPoint
DoorAccessControl
Storage
TelePresence
Tenant2 WiFiAccessPoint
UnifiedComputingSystem(UCS)Rack
DigitalSignageVideoWall
VideoSurveillance
UnifiedComputingSystem(UCS)Rack
UnifiedComputingSystem(UCS)Rack
Nexus2000Switch
Nexus5000Switch
DoorAccessControl
IPVideoPhone
VXC/Tablet(VirtualDesktop)
VXC/Tablet(VirtualDesktop)
DigitalSignagePC/Tablet(VirtualDesktop)
Catalyst3850SwitchClusterPoEEnergywise
Catalyst6500VSSCoreSwitch
WirelessLANController
(GuestAccess)
VideoSurveillance
TelePresence
Tenant1WiFiAccessPoint
DoorAccessControl
IPVideoPhone
DigitalSignagePC/Tablet(VirtualDesktop)
VideoSurveillance
TelePresence
Tenant1 WiFiAccessPoint
Tenant2
IPVideoPhone
DigitalSignagePC/Tablet(VirtualDesktop)
VideoSurveillance
WiFiAccessPoint
DoorAccessControl
IPVideoPhone DigitalSignage
PC/Tablet(VirtualDesktop)
VideoSurveillance
BuildingManagementSystem(BMS)HVAC/Lights
HypervisorNexus1000v
VirtualMachines
HypervisorNexus1000v
VirtualMachines
HypervisorDesktopVirtualisation
Software
VirtualMachinesCommunicationManager(CUCM)UnityConnection
(CUC)
Jabber(Presence)
ContactCentre(UCCX)
MeetingPlace
AttendantConsole
OS
OS
OS
OS
OS
OS
DigitalMediaManager(DMM)Show&Share
Server
WebexSocial
NetworkManagement
TelePresenceCtrlServer(TCS)
TelePresenceManager(TMS)
OS
OS
OS
OS
OS
OS
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
OSApp
WANOptimisation(WAAS)
WirelessLANController
IPICSServer
PhysicalAccessManager(PAM)
VideoSurveillanceOperationsManagerVideoSurveillance
MediaServer(VSMS)
MobilityServicesEngine(MSE)
MediaExchangeEngine(MXE)
VideoCommsServer(VCS)
PSTNISRG2
PSTNGatewayVoice/VideoDSPPrime
CiscoSecurityManager(CSM)
DataCentreNetworkManager(DCNM)
NetworkControlSystems(NCS)
LANManagementSystem(LMS)
IdentityServiceEngine(ISE)
NetworkAnalysisModule(NAM)
CollaborationManager(CM)
FibreChanneloverEthernet(FCoE)FibreChannelStorageLinks
Ethernet
VXC/Tablet(VirtualDesktop)
RuggedMobileComputerConnectedFieldStaff
CiscoConnectedAirport–ReferenceArchitecture©Copyright2011-13CiscoSystems,Inc.AllRightsReserved.
IndustrialEthernetviaCiscoRuggedSwitchesandRouters(CGS-2520,IE2000,CGR-2010)supportSCADAcommunicationsthroughhierarchicalsegmentation.Thisresultsinreducedcostandcomplexitywithincreasedefficiency,scale,resilience,policyenforcementanddefence-in-depthsecurity.
ThequalityandcollaborationcapabilitiesofTelePresencearefarbeyondtypicalVideoConferencing.Therealismandqualityenhancesthecommunicationvalueofmeetingsenablinguserstocatcheverycommentandnuanceoftheconversation.Atthesametime,RailInfrastructureManagerscansavemoney,timeandenergywhereveritisused.
StandardsbasedWirelessMeshviatheCiscoFieldAreaRouter(FAR)supportsconnectivityofsensorsforpro-activemonitoring,controlandgeneraltelemetryoftheNetwork.Datacanbecollectedandprocessedlocallyontherouterenablingdistributedintelligence.Securewirelessaccessforfieldstaffensures“always-on”networkconnectivity.
CiscoVideoSurveillancesolutionsusetheIPnetworktodeliverandreceiveliveandrecordedvideosurveillancemedia.TheIPcamerasarefeature-richdigitalcamerasthatenablesurveillanceinawidevarietyofenvironmentsavailableinstandardandhighdefinition;wiredandwirelessofferingefficientnetworkutilisationwhileprovidinghigh-qualityvideo.
VirtualDesktopInfrastructure(VXI)centralisesemployeedesktops,applicationsanddatainthedatacentre.ItprovidesunprecedentedcontrolofthedesktopandlaptopenvironmentandhelpsITtosecurecompute,networkanddataresources.VXIfreesendusersfromtheconstraintsofaspecificdeviceandreduceslong-termcostsbysimplifyingmanagementofthedesktopenvironment.
CiscoPhysicalAccessControlisacost-effectiveIP-basedsolutionthatusestheIPnetworkforintegratedsecurityoperations.Itworkswithexistingcardreaders,locksandbiometricdevicesandisintegratedwithCiscoVideoSurveillanceandIPInteroperabilityandCollaborationSystem(IPICS)foracomprehensive,holisticenterprise-widesafetyandsecuritysolution.
CiscoDigitalMediaSuite(DMS)enablescompaniestolearn,grow,communicateandcollaboratethroughwebcastingandvideosharing,digitalsignageandbusinessIPTVapplications.DMSallowsquickandeffectivedisplayofinformationincludetrainingforlive/on-demandvideobroadcasts,emergencymessaging,schedulesandnews;extendingtheoverallreachofcorporatecommunications.CiscoVoiceandUnifiedCommunicationsdevelopsinteractivecollaborationbycombiningallformsofbusinesscommunicationsintoasingle,unifiedsolution,itwillhelpemployees,customers,suppliesandpartnerstocommunicatewitheachother,quicklyandeasilywithoutobstacles.
CiscoSecuritysolutionsprotectassetsandempowerstheworkforce.Context-aware
securityprovideshighlevelintelligence,policygovernance,andenforcementcapabilities.
Significantlyenhancingtheaccuracy,effectiveness,andtimelinessofany
organisation'ssecurityimplementation.
TheMobileTeleWorkergainsflexibilityandproductivity.Ciscodeliversasuiteofteleworkingsolutionswithacost-effectiveapproachthatpreservesbusinesssecurityandagility,increasesproductivity,andreducecostsbycontinuouslyconnectingtheTeleWorker,anytime,fromeverylocationathomeorontheroad.
CloudServicescanoffersavingsinITresourcessuchascomputingstorageandapplicationservices.“TheCloud”canprovidethesesservicesaselasticresourcesthataresuitableforuseinexistingornewapplicationswithoutalargeinvestmentincapitalresourcesandongoingmaintenancecosts.WebExdeliversonlinemeetingsandeasy-to-usewebcollaborationtoolstotheentireworkforce.Scansafekeepsmalwareoffthecorporatenetworkandmoreeffectivelycontrolsandsecureswebusage.
CiscoUnifiedFabricDataCentreprovidesflexible,agile,high-performance,non-stopoperations;self-integratinginformationtechnology,reducedstaffcostswithincreaseduptimethroughautomation,andmorerapidreturnoninvestment.Itacceleratesvirtualisationandenablesautomationtoextendthelifecycleofmission-criticalresourcestosupportevolvingneeds.Railcompaniescanreducetheirtotalcostofownership(TCO)andincreasebusinessagility—bothcriticaltocombatingtheserversprawlandinefficiencyinherentinmanydatacentrestoday.
WideAreaApplicationServices(WAAS)isacomprehensiveWANoptimizationsolutionthatacceleratesapplicationsovertheWAN,deliversvideotothebranchoffice,andprovideslocalhostingofbranch-officeITservices.CiscoWAASallowsITdepartmentstocentralizeapplicationsandstorageintheDataCentrewhilemaintainingLAN-likeapplicationperformance.
IP/MPLSintheWANenablesconvergedsecurelinkvirtualisation.Itreducesoverallcostsbysupportingmultiplelogicalnetworksacrossasinglephysicalinfrastructure.
PhysicalSecurity
ASR1000Router ASR1000Router
EnterpriseContentDeliverySys(EDCS)
TPresenceMultipointControlUnit(MCU)
MobilePhoneAnyconnectVPNClient
Internet
CGR-2010Rugged
RouterwithVPN/
Firewall
Fireservice
Gatelink
MobileWorkfo
rce
IPPhone
IE2000
MPLS Layer
Optical Layer
PRouter
PERouter
OperationalNetwork
FacilitiesManagement
VoiceServices
RTU
PMR&Tetra
Catalyst3850
VideoGateway
IPCameraVehicle/PassengerTracking
Mast
Retail
Passengerservices
CustomerInformationScreens
Help-pointPhone
Telephony
SecuritySystems
VideoSurveillance
InternetAccess
GPRS/3G/LTE
VG350IPPhoneIPPhone IPPhone
CGS-2520RuggedSwitch
RTU
BuildingManagementSystem(BMS)HVAC/Lights
Catalyst3850SwitchClusterPoEEnergywise
Runwaylighting Maintenance Passengerservices Operations
AnalogueCamera
IPPhone
VideoGateway
IPCamera
Mast
ISRG2Router
IPICS
CGS-2520RuggedSwitch
IPICSIPICS
Kiosks
Mast
NAVAids
ISR/3850
MET
819Router
GPRS/3G/LTE
CGS-2520RuggedSwitch
Controlpoints
IPCamera
IPPhone
819Router
ISRG2Router
RTU
BaggageHandling
IPCameraWiFiAccessPoint
RFIDTag
Check-in
Catalyst3850SwitchClusterPoEEnergywise
Catalyst3850SwitchClusterPoEEnergywise
Catalyst3850SwitchClusterPoEEnergywise
Catalyst3850SwitchClusterPoEEnergywise
DigitalSignage
BMSHVAC/Lights
RFIDTagASR9000
Bus
FieldAreaM2MRouter3G/LTE
Vehiculetracking
FieldAreaM2MRouter3G/LTE Vehiculetracking
BarcodeReaders
PublicAnnoucement
Catalyst3850 ISRG2RouterISRG2Router
Catalyst3850
Fire/Rescue
Ambulance
BarcodeReaders
TenantsandAirlines
ISRG2Router(WAAS,VPN)
ISRG2Router(WAAS)
WiFiAccessPointIPVideoPhone
PC/Tablet(VirtualDesktop)
Catalyst3850
OutdoorWirelessMesh
Fire/Rescue
ISR/3850ISR/3850ISR/3850
WiFiAccessPoint
GSECargo
Сеть агрегации FANЗОНА 2
Мультисервисная шинаЗОНА 3
Сеть NERC CIPЗОНА 1
Сет
ь по
дста
нций
Станционная шина IEC 61850
Шина процессов IEC 61850
Архитектура ИБ цифровой подстанции
Физическая безопасность
Взаимодействие с сотрудниками
Серийные, C37.94, E&M
Периметр электронной безопасности (ESP)
PT ПрерывательCT CTPT
Периметр физической безопасности (PSP)
ПрерывательIEDMU
РаспределенныйконтроллерHMI
УстаревшаяRTU
PT CT
АппаратныйI/O
Сенсор
УстаревшеерелеРТЗ
Прерыватель
Частный WiMax или LTE для полевой сети
Точка электронного доступа
Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP
Центр управлениядоступом
ДМЗ
Центр обработки
данных
HMISCADA FEPEMS
CPAMVSOM
Аналитикаист. данныхSIEMPACS
ACSCALDAP
HMI
Контроллерсоединения RTU Защитное
релеПроцессор
коммуникацийPMUPDC
РелеРТЗ
Управление ибезопасность
Уровень 1
УстройствоУровень 0
ЦентруправленияУровень 3
УстаревшаяRTU
Сети безопасности и управления процессами Мультисервисные сети
Ист. данные HMI
Отсек питания
Безопасность
Процесс
Питание
Процесс
Контроллер Контроллер Контроллер
Серийные и неразъемные соед.
Ethernet-процессыEthernet-мультисервисы
WANБеспроводн. соед.
ТранспортRFID
SIEM
Сенсор Движок Клапан Драйвер Насос Прерыватель МониторпитанияСтартер Выключатель
Системы
безопасности
Принтер
Оборудование
SIEMСистема SCADAГоловная станция
Рабочие станцииоператора и разработчика
Сервер автоматизации процессов системы
SIEM
SIEM
Обработка и распред. ист. данных
Серверы приложений
Операционныебизнес-системы
SIEM
SIEM
SIEM
Надежность ибезопасность
Система управленияпроизводством (MES)
SIEM
SIEMРаспределенная система управления (DCS)
SIEM
SIEM
Контроллердоменов
Корп. сетьУровни 4-5
Ист. данныеSIEM
Анти-вирус
WSUS
SIEM
SIEMСервер удаленнойразработки
SIEM
Сервертерминального оборудования
SIEMДМЗ
Уровень 3.5
Телекоммуникации на операционном уровне
Беспроводн. сети
Интернет
КонтрольУровень 2
Системы видеонаблюдения
Контрольдоступа
Голос
Мобильные сотрудники
Беспроводн. сенсор
Контроллер
Сенсор Выключатель
Безопасность
Архитектура ИБ нефтеперерабатывающего завода от Cisco
CorporateISP
BRAS
Voice
PLCPLC RTI/O
Архитектура ИБ нефтедобывающей компании
Периметр
Транспортная сеть
Ядро сети
Скважина БуроваяMobile Field Connectivity
Micro Seismic Applications
RF-ID Asset TrackingOperational Video Surveillance
Real Time Control
Transparent QoS TaggingLow Latency – Low Jitter
Gigabit Data Capacity BackboneEnd-to-End Oil Field Coverage
IE-3000L-3 Switch
RDL-3000mNomadic Radio
IE-3000L-3 Switch
Elte-MTATEX-2 Radio
RDL-3000Base Station
RDL-5000PTP-Microwave
Сервера управления
IE 3000Industrial Switches
NetworkServices
Subsurface Modeling
Video Management ServerCollaboration Server
Routing & QoS Definitions
Operations and Control
M2MI/O Server
Corp VPN
ASR-1000 ASA-5500Switch
Network Security
RDL-3000Base Station
1552EWi-Fi AP
RF-ID MobileWorkers
VoIPVideoSurveillance
HMIRTU Real Time
I/O Controller
VideoSurveillance
Access Control
NMS/EMS
Cisco Video Surveillance MGR
Cisco Unified Comms Server
Cisco Wireless Controller
SCAD
A"&"Ope
ra?o
nal"
Busin
ess"S
ystems"
Physical"Security
"
Wire
less"
Voice"&"Incide
nt"
Respon
se"
Indu
stria
l"DMZ"
Control$Cen
tre$(xN)$
Network"
Services"
Process,"Safety,"Pow
er"
Mul?service"
Fog"Co
mpu
te"
The$Secure$Pipeline$
Level$0$
Level$1$
Level$2$
Level$2.5$
Physical$Security$Opera3ons$Mgr$
SIEM
SIEM
SIEM
SIEM
Physical$$Access$Mgr$
Video$$Surveillance$Mgr$
Incident$$Response$
WLAN$Controller$
Call$$Manager$
Voicemail$Mobility$&$Tracking$
Applica3ons$
SIEM
Engineer$Worksta3ons$
Metering$
SCADA$Primary$
Energy$Mgt$
Historian$
Repor3ng$Operator$Worksta3ons$
SIEM
SIEM
SIEM
SIEM SIEM
SIEM
SCADA$Backup$
SIEM
SIEM
Remote$Access$
Patch$Mgt$
An3\virus$
NonNWired"WAN"3G/LTE,"Satellite,"WiMAX,"RF"Mesh,""
Microwave"
Virtua
lized
$
SIEM
RTU/Controller$
Wireless$AP$ Wireless$AP$Wireless$AP$Stra3x$Switches$ Stra3x$Switch$
Radio$
Mobile$Worker$
Voice$
CCTV$&$Access$Control$
RFID$
Fog$Node$
Master$MTU$
Level$3$&$3.5$
Level$4$&$5$
Enterprise"WAN"
Leak"Detec?on" Pipeline"Op?miza?on"Batch"Management" Physical"Security" Mobility"Industrial"Wireless" Analy?cs"Voice"&"Video"Metering"
Visualiza?on" Asset"Management"Historian" Opera?ons"Intelligence"Condi?on"Monitoring" Energy"Management" Collabora?ve"Workspace"
Asset"&"People"Tracking"
Op?miza?on" Security"
WAN$&$Security$
Office$
Domain$
Internet"3rd$Party$
Compressor(/(Pum
p(Sta9
on(
Meter/PIG/Terminal(Sta9o
n(
Block(Va
lve(Sta9
on(
Instrumenta3on$
WAN$&$Security$WAN$&$Security$ WAN$&$Security$
Instrumenta3on$ Instrumenta3on$ Instrumenta3on$
Stra3x$Switch$
Wired"WAN"Ethernet,"DWDM,"MPLS"
WAN,$Security,$&$Op3miza3on$
SIEM
Alarm$Mgt$
Batch$Control$
SIEM
SIEM
Ethernet"Serial"WiFi"
Industrial"Wireless"
RTU/Controller$
Instrumenta3on$
Stra3x$Switches$
Instrumenta3on$
RTU/Controller$RTU/Controller$ RTU/Controller$
Архитектура ИБ трубопровода от Cisco и Rockwell
Совместная функциональная архитектура целостной трубопроводной инфраструктуры.
§Гибкий, модульный подход, подерживающий этапную трансформацию Нефте-Газового трубопровода
§Виртуализация контрольной комнаты
§Конвергентное WAN операционное взаимодействие
§Проводные и беспроводные сети трубопровода
§Интегрированные мульти-Сервисные системы
§IEC 62443 / ISA99 Модель безопасности
SIEM
Process'Control' Power'Management' Safety'Systems'
Compressor'/'Pump'Sta7on'
Mul7service'Domain'Sta7on'WAN'&'Security'
Process'Domain'
Metering'/'PIG'Sta7on'
Metering'
PIG'System
s'
Gas'Q
uality'
Mul7service'Domain'Sta7on'WAN'&'Security'
Process'Domain'
SCADA'&'Opera7onal'Business'Systems!SIEM
Engineer'Worksta7ons'
Applica7on''Servers'
Domain''Controller'
Instrumenta7on' Instrumenta7on' Instrumenta7on' Instrumenta7on'
Quantum' Quantum' MiCom'c264'
SIL3!Controller! SIL3!Controller!
GTW' RI/O' GTW' RI/O!
Historian' Operator'Sta7on'
Historian' PACIS'Operator''
Historian' Operator'Sta7on'
HMI'
Ethernet'Network' Ethernet'Network' Safe'Ethernet'Network'
Ethernet'Network''Safe'Ethernet'Network'
Wireless'AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'Network'
Wireless'AP'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet!Network!
Wireless!AP!
Controller' Controller' Controller'
Ethernet'Network'
Historian' Historian' Historian'
HMI' HMI'
Router' Firewall' Switch' Router' Firewall' Switch'
Converged'OT'&'IT'Opera7onal'Field'Telecoms'
SCADA''Primary'
RAS''
Leak''Detec7on'
Physical'Security'
Operator'Worksta7ons'
SCADA''Backup'
Training'Server'
Historian'
Repor7ng'
Metering''Systems'
Main'Control'Center'
Video''Opera7ons'
Access''Opera7ons'
Video''Storage'
Incident''Response'
IP/Ethernet'
DWDM'
IP/MPLS'
(virtua
lized
/non
/virtua
lized
)1
(virtua
lized
/non
/virtua
lized
)1
Backup'Control'Center'
MCC
'WAN
'&'Security
'
BCC'WAN
'&'Security
'
Mul7service'Domain'
Mobile!Worker!
IP!Voice!
Access'Control'
CCTV'
RFID!
Ethernet'Network'
Wireless'AP'
Process'Domain'
Router'Firewall'
Switch'
Sta7on'WAN'&'Security'
Block'Valve'Sta7on'
Quantum'
Instrumenta7on'
Centralized'Opera7ons' Office'/'Business'Domain' Internet'Edge'Internet' 3rd'Party'
Support'
Voice'
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
Engineer'Worksta7ons'
Applica7on''Servers'
Domain''Controller'
SCADA''Primary'
Leak''Detec7on'
Operator'Worksta7ons'
SCADA''Backup'
Historian'
Repor7ng'
Metering''Systems'
Incident''Response'
(virtua
lized
/non
/virtua
lized
)1
(virtua
lized
/non
/virtua
lized
)1
Wireless'
WLAN'Controller'
Call'Manager'
Voicemail'
SCADA'&'Opera7onal'Business'Systems! Physical'Security' Voice'
Magelis'
ION'Metering'
SEPAM'Protec7on'
TeSys'T'Motor'Mgt'
Al7var'Drive'
MiCOM'Feeder''
Protec7on'
Magelis'
Video''Opera7ons'
Access''Opera7ons'
Video''Storage'
(Red
unda
nt1
Op5
ons)1
(Red
unda
nt1
Op5
ons)1
(Red
unda
nt1
Op5
ons)1
SIEM SIEM
SIEM SIEM SIEM
Switch'
SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM
SIEM SIEM
SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM SIEM
SIEM SIEM SIEM SIEM SIEM SIEM
RI/O!
ScadaPack'
SIL3'Op7on'No'SIL'Op7on'
Wireless!opAon!
3G/LTE,'WiMax'900Mhz'RF'Mesh'
Satellite,'Microwave'
ROADM' ROADM' ROADM'
Crew!Welfare!/!Infotainment!
SIEM
IDMZ'
TIming'Server'
SIEM
AAA'
TIming'Server'RAS''
SIEM
SIEM
AAA'
WAN'Networks'
IDMZ'
Архитектура ИБ трубопровода от Cisco и Schneider
Совместная функциональная архитектура целостной трубопроводной инфраструктуры.
§Гибкий, модульный подход, подерживающий этапную трансформацию Нефте-Газового трубопровода
§Виртуализация контрольной комнаты
§Конвергентное WAN операционное взаимодействие
§Проводные и беспроводные сети трубопровода
§Интегрированные мульти-Сервисные системы
§IEC 62443 / ISA99 Модель безопасности
Аутсорсинг ИБ
Анализ угроз
Operations
Продукты по ИБ
Архитектура ИБ
Исследования Консалтинг «Разведка»
Cервисы ИБ
В качестве заключения
Герб Зеленограда
Белки vs хакеров: у нас еще есть времяАгент Успех
Белка 927
Птица 461
Змея 84
Енот 76
Крыса 41
Куница 23
Бобер 15
Медуза 13
Человек 3* http://cybersquirrel1.com
Дополнительная информация
Раздел «Брошюры» на сайте www.cisco.ru
Дополнительная информация
• Converged Plant-Wide Ethernet DIG
• Planning for a Converged Plant-wide Ethernet Architecture – ARC Group
• Secure Wireless Plant
• Industrial Intelligence Architecture
• Securing Manufacturing Computer and Controller Assets
• Achieving Secure Remote Access to Plant Floor Applications
Свяжитесь с нами
Тестируйте
Составьте план
внедрения
Напишите нам на [email protected] или своему менеджеру Cisco для организации встречи для более глубокого обсуждения ваших потребностейи того, как мы можем их удовлетворить
Воспользуйтесь широким спектром возможностей по тестированию:• dCloud• Виртуальные версии всего ПО• Демо-оборудование• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный план внедрения решений по кибербезопасности под ваши задачи
Что сделать после конференции?
#CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:Алексей Лукацкий
Бизнес-консультант по безопасности[email protected]Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia