Разведка угроз промышленных предприятий
TRANSCRIPT
1
Разведка угроз промышленных предприятий
Антон Шипулин CISSP, CEH, CSSAМенеджер по развитию решений по безопасности критической инфраструктурыЛаборатория Касперского
2
ОБНАРУЖИТЬ И ПРЕДОТВРАТИТЬ БЕДУПОКА НЕ СТАЛО СЛИШКОМ ПОЗДНО
• Угрозы внутри• Угрозы на пороге• Зарождение угрозы
3
ОТСУТСТВИЕ МОНИТОРИНГА ПРОМЫШЛЕННЫХ СЕТЕЙ
https://www.sans.org/reading-room/whitepapers/analyst/2016-state-ics-security-survey-37067
4
СУТЬ ПРОЦЕССА РАЗВЕДКИ УГРОЗ
321
Сбор данных об угрозах с внешних
источников
Обработка и анализ данных
Подготовка релевантных результатов
5
ИСТОЧНИКИ ДАННЫХ ОБ УГРОЗАХ
• IRC каналы• Threat фиды других сервисов• Депозитарии кода (GitHub, Exploit-db, …)• Хакерские форумы (deep, dark web)• Репутационные базы/сервисы (Kaspersky Security Network, …)• Публичные сервисы (социальные сети, новостные ресурсы, …)• Специальные поисковые системы (Shodan, Сensys, Vulners, …)• Базы уязвимостей (ICS-CERT, CVE, …)• Сенсоры, honeypots (Conpot, GasPot, GridPot …)
…
6
НОВОСТИ / ИНЦИДЕНТЫ
7
ИЗМЕНЕНЕНИЯ ГОСУДАРСТВЕННОМ УРОВНЕ
Указ Президента РФ от 31 декабря 2015 "О Стратегии национальной безопасности Российской Федерации"…43. Основными угрозами государственной и общественной безопасности являются:…деятельность террористических и экстремистских организаций, направленная на … уничтожение или нарушение функционирования военных и промышленных объектов, объектов жизнеобеспечения населения, транспортной инфраструктуры, устрашение населения, в том числе путем … нарушения безопасности и устойчивости функционирования критической информационной инфраструктуры Российской Федерации;
МЧС России "Прогноз чрезвычайной обстановки на территории Российской Федерации на 2016 год" от 24. 12. 2015 г…Кибертерроризм. Учитывая, что в настоящее время уровень информационной безопасности не соответствует уровню угроз в данной сфере, в 2016 году возможно повышение возможных хакерских атак с целью создания условий для возникновения техногенных ЧС. Из промышленных объектов наиболее уязвимы при хакерских атаках энергетические и коммуникационные сети России
8
ТЕРРОРИЗМ
http://icitech.org/wp-content/uploads/2016/06/ICIT-Brief-The-Anatomy-of-Cyber-Jihad1.pdf
9
HONEYPOTS
10
SHODAN
11
РЕЛЕВАНТНЫЕ РЕЗУЛЬТАТЫ
https://www.cpni.gov.uk/Documents/Publications/2015/11-June-2015-Threat%20Intelligence%20-%20Infographic.pdf
Стратегические разведданные
Операционные разведданные
Непрерывное предоставление отфильтрованных и подготовленных данные об угрозах под профиль и характеристики организации
• Глобальные/индустриальные тренды
• Новые уязвимости в АСУ ТП
• Новые уязвимости в смежных системах
• Новые инструменты атак
• Вид организации снаружи
• Рекомендации по повышению уровня защищенности
• Рекомендации по новым инструментам защиты
• Информация об обновлениях промышленных систем
• Индикаторы компрометации (IOC)
12
ПРИМЕР РЕЗУЛЬТАТА
https://securelist.ru/analysis/obzor/28866/industrial-cybersecurity-threat-landscape/
14
THREAT INFORMATION SHARING
“one organization’s detection to become another’s prevention”
“Обнаружение в одной компании становится предотвращением в другой”
15
16
17
INFORMATION SHARING AND ANALYSIS CENTER
● Automotive (Auto-ISAC)● Aviation (A-ISAC)● Defense Industrial Base (DIB-ISAC)● Emergency Services (EMR-ISAC)● Electricity (E-ISAC)● Maritime Security ISAC● National Health (NH-ISAC)
● Nuclear (NEI)● Oil and Gas (ONG-ISAC)● Public Transit (PT-ISAC)● Supply Chain (SC-ISAC)● Surface Transportation (ST-ISAC)● Water ISAC (Water-ISAC)● Industrial Control System (ICS-ISAC)
http://www.nationalisacs.org/member-isacs
18
ГОССОПКА
19
ПРОМЫШЛЕННЫЙ CERT "ЛАБОРАТОРИИ КАСПЕРСКОГО"
http://kommersant.ru/doc/3077603
20 http://www.itsec.ru/newstext.php?news_id=111706
21
ПП РФ ОТ 02.10.2013 Г. N 861 "ОБ УТВЕРЖДЕНИИ ПРАВИЛ ИНФОРМИРОВАНИЯ СУБЪЕКТАМИ ТЭК ОБ УГРОЗАХ СОВЕРШЕНИЯ И О СОВЕРШЕНИИ АКТОВ НЕЗАКОННОГО ВМЕШАТЕЛЬСТВА НА ОБЪЕКТАХ ТЭК"
22
МОТИВАЦИЯ
Не найдется ли у вас времени поделиться информацией с вашим локальным ведомством и ISAC?
• Угроза наказания / Поощрение и помощь
• Бюрократия / Удобство • Отдавать / Получать выгоду• Конфиденциальность / Доверие• Много/ Мало
23
Д - ДОВЕРИЕ
https://twitter.com/beerisac
24
САМОДЕЯТЕЛЬНОСТЬ
25
ВЫВОД
• Мониторинга много не бывает• Используйте сервисы разведки• Делитесь информацией с выгодой
26
Вопросы?
Антон Шипулин
CISSP, CEH, CSSAМенеджер по развитию
решений по безопасности
критической инфраструктуры
Лаборатория КасперскогоМосква, Ленинградское шоссе, д.39А, стр.3
Т: (495) 797 8700 #1746
www.kaspersky.ru