Защита АСУ ТП средствами cisco ips
DESCRIPTION
TRANSCRIPT
Информационный документ
© Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 1 из 5
Защита АСУ ТП средствами Cisco IPS
Защита АСУ ТП: что должен знать каждый заказчик
Предлагая системы предотвращения вторжений (IPS), Cisco предоставляет заказчикам эффективную защиту систем
АСУ ТП. Защита АСУ ТП – это узкоспециализированная отрасль сетевой безопасности, в которой последствия
отказов и сбоев могут быть критическими, а иногда и катастрофическими. Теперь решения Cisco® IPS поддерживают
лицензируемый набор сигнатур, подготовленных специалистами в области безопасности АСУ ТП для контроля и
надежной защиты этих критически важных систем промышленных предприятий, предприятий ТЭК и т.д.
Обзор систем предотвращения вторжений (IPS)
Сенсоры Cisco IPS обеспечивают высокоэффективное интеллектуальное обнаружение вторжений и точно
выверенную реакцию на атаки, позволяя реализовать функциональность IPS как на периметре сети, так и в центре
обработки данных, построенных на базе протокола IP 4-й и 6-й версии.
Технология интеллектуального обнаружения
Сенсоры Cisco IPS точно идентифицируют, классифицируют и останавливают вредоносный трафик, прежде чем он
сможет стать причиной ущерба технологическим и бизнес-процессам.
● Технология Cisco IPS направлена на предотвращение вредоносной активности на протяжении всего
жизненного цикла атак и на всех уровнях стека протоколов.
● Модульные средства анализа трафика, основанные на разработанных Cisco инновационных технологиях
обеспечения безопасности и интеллектуальных механизмах, способны обнаруживать и предотвращать угрозы
для всех уровней стека протоколов, от протокола ARP до сложных приложений корпоративного уровня.
Технология Cisco IPS позволяет защититься от самых современных методов обхода систем предотвращения
вторжения и может нормализовать даже самый фрагментированный сетевой трафик.
● Технология Cisco IPS обеспечивает адаптивное обнаружение аномалий и фактов использования различных
уязвимостей. Cisco сконцентрировала свои усилия на создании сигнатур, позволяющих точно обнаруживать
попытки использования потенциальных уязвимостей, поэтому возможность обнаруживать угрозы сохраняется
на том же высоком уровне даже при изменении вредоносного кода или эксплойтов. Для защиты от
совершенно новых атак («zero-day») сенсор Cisco IPS собирает информацию о сети, обнаруживает аномалии
протоколов и поведения, после чего нейтрализует атаки без необходимости обновления сигнатур.
● С появлением технологии глобальной корреляции Cisco стала инициатором использования в отрасли IPS
репутационных механизмов. Глобальная информация об угрозах преобразуется в сведения для принятия
решений (например, в виде показателей репутации) и может также использоваться для формирования
«черных списков» и инициирования динамической реакции на угрозу.
© Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 2 из 5
Защита АСУ ТП
Автоматизированная система управления технологическими процессами (АСУ ТП) – это термин, обозначающий
нескольких типов систем управления, используемых в критически важных инфраструктурах и в промышленном
секторе, включая системы диспетчерского управления и сбора данных (SCADA), системы управления
технологическими процессами (PCS) и другие, менее крупные системы управления, например построенные на базе
программируемых логических контроллеров (PLC).
● Количество угроз и уязвимостей АСУ ТП постоянно растет. В течение последних 10 лет наблюдался
значительный рост количества угроз, уязвимостей и кибер-атак на промышленные объекты, использующие АСУ ТП.
● Уровень доступности АСУ ТП возрос. С появлением технологий «готового продукта для потребительского
сектора» (COTS) и расширением взаимосвязей между АСУ ТП и ИТ-инфраструктурами предприятий, системы
АСУ ТП стали доступными и уязвимыми перед типовыми и широко распространенными угрозами, ранее не
попадавшими в физически изолированные сегменты АСУ ТП.
● Установка обновлений системного и прикладного ПО – трудный и дорогостоящий процесс. Внесение
исправлений связано со снижением производительности или остановкой работы системы, либо может повлечь
непредусмотренные последствия, в результате которых производственные процессы будут нарушены, а бизнес
будет терять деньги. На практике АСУ ТП могут эксплуатироваться без внесения исправлений в течение
длительного времени, при этом в производственных системах остаются давно известные уязвимости.
Рисунок 1. Количество публично раскрытых уязвимостей в системах АСУ ТП по данным CERT
Июль-декабрь *(ожидается)Январь-июнь Июль-декабрь Январь-июнь
Статистические данные из архива сводок и отчетов по системам управления Программы безопасности системам управления
(CSSP) US-CERT, 7 июля 2011 г.
Рисунок 2. Категории уязвимостей, выявленных в АСУ ТП
47 % Неадекватная проверка достоверности входных данных
18 % Управление разрешениями, полномочиями и доступом
11 % Неправильная аутентификация
8 % Недостаточный контроль подлинности данных
8 % Низкое качество программного кода
5 % Настройка и обслуживание систем безопасности
3 % Управление учетными записями
Статистические данные из отчета US-CERT «Common Cybersecurity Vulnerabilities in Industrial Control Systems» (Распространенные
уязвимости АСУ ТП в аспекте информационной безопасности), 7 июля 2011 г.
© Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 3 из 5
Приоритетные направления
Промышленное оборудование и системы управления, используемые в разных отраслях, различаются, однако имеют
некоторые общие черты. Широко используемые в сфере производства протоколы могут скрывать в себе типовые
уязвимости, в то время как некоторые поставщики таких продуктов могут в значительной степени поддерживать
проприетарность или предлагать уникальную реализацию стандартизованных продуктов. Результатом этого
является необходимость обеспечивать защиту как специфических для отрасли, так и общепринятых платформ и
протоколов.
Предлагаемый Cisco начальный набор сигнатур для защиты АСУ ТП включает комбинацию средств обнаружения
для широко распространенных протоколов, используемых в АСУ ТП, и специфические шаблоны атак,
ориентированных на инструментальные средства и среды, применяемые в нефтегазовой отрасли. Набор этих
сигнатур будет постоянно расширяться – Cisco будет продолжать формировать сигнатуры для защиты общих
протоколов АСУ ТП, а также дополнительной защиты систем для нефтегазовой отрасли. Кроме того,
специализированные пакеты сигнатур и шаблонов обнаружения атак будут ориентированы на другие отрасли,
в частности, предприятия коммунального хозяйства, производство, транспорт и добычу природных ресурсов.
Как показано на рис. 3, корректность размещения сенсора IPS в сети предприятия или сети АСУ ТП является
критически важным фактором для защиты промышленных систем в рамках ИТ-инфраструктуры.
Рисунок 3. Сценарии защиты АСУ ТП средствами Cisco IPS
Лицензирование и готовность
Предлагаемый Cisco комплект сигнатур для защиты АСУ ТП лицензируется на уровне отдельных устройств
и поставляется в рамках существующей системы обновления сигнатур. Заказчики могут приобрести лицензию для
конкретной платформы и получать специализированные обновления при наличии действующего контракта на
поддержку сенсоров IPS. Для получения более подробных сведений обращайтесь к представителю Cisco.
HART Fieldbus PRQFI BUS Serial RS485 OPC
Корпоративная сеть Корпоративная сеть
Сеть АСУ ТПверхнего уровня
Рабочие местаEnterprise
Optimization Suite Серверстороннихприложений
Мобильныйоператор
Сеть контроллеров
Сеть Серверсоединений
СерверHistorian
Серверприложений
Рабочееместо
инженера
Serial OPCили Fieldbus Сеть уровня
датчиков и исп. механизмов
Сторонниеконтроллеры,серверы и т. д.
Резервирование
© Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 4 из 5
Защита посредством сигнатур
Ниже приведены примеры протоколов и угроз, охваченные в рамках предлагаемого Cisco набора сигнатур для
защиты систем АСУ ТП.
Системы: SCADA, DCS, PLC, SIS, RTU, EMS.
Основные производители АСУ ТП, для которых разработаны сигнатуры: Schneider, Siemens, Rockwell, GE, ABB,
Yokogawa, Motorola, Emerson, Invensys, Honeywell, SEL.
Угрозы и защита: известные уязвимости, обеспечение выполнения политики, нормализация трафика протоколов.
Информация для заказа
В таблице 1 содержится информация для заказа сигнатур Cisco IPS SCADA.
Таблица 1. Информация для заказа
Номер по каталогу (P/N) Целевая платформа
L-ASA5510-SCA= ASA5510–AIP10, ASA5510–AIP20,
L-ASA5520-SCA= ASA5520–AIP10, ASA5520–AIP20, ASA5520–AIP40
L-ASA5540-SCA= ASA5540–AIP20, ASA5540–AIP40
L-ASA5585-10-SCA= ASA5585–SSP10
L-ASA5585-20-SCA= ASA5585–SSP20
L-ASA5585-40-SCA= ASA5585–SSP40
L-ASA5585-60-SCA= ASA5585–SSP60
L-ASA-AIP5-SCADA= ASA 5505
L-IPS-4240-SCADA= IPS 4240
L-IPS-4255-SCADA= IPS 4255
L-IPS-4260-SCADA= IPS 4260
L-IPS-4270-SCADA= IPS 4270
L-IPS-IDSM2-SCADA= IDSM-2
Требования к версии программного обеспечения
Для корректной работы сигнатур Cisco для защиты АСУ ТП необходимо, чтобы версия программного обеспечения
для целевых платформ, перечисленных в таблице 1, поддерживала ядро сигнатур E4. Поддержка Е4 реализована
в версии программного обеспечения Cisco IPS 7.0 и более поздних версиях.
Услуги Cisco по поддержке IPS
Услуги Cisco по поддержке IPS (Cisco Services for IPS) представляют собой комплексный сервис безопасности и
являются неотъемлемой частью решений Cisco IPS, позволяя заказчикам получать критические по времени
обновления файлов сигнатур и различные оповещения. Будучи частью портфеля услуг технической поддержки
Cisco, услуги Cisco по поддержке IPS позволяют обеспечить актуальное состояние системы Cisco IPS для борьбы
с самыми последними угрозами за счет точной идентификации, классификации и запрета вредоносного трафика.
В контексте защиты АСУ ТП важно отметить, что единственным средством получения доступа к сигнатурам Cisco
для защиты АСУ ТП является наличие действующего контракта на услуги Cisco по поддержке IPS, связанного с
целевой платформой системы предотвращения вторжений.
Для получения дополнительных сведений об услугах Cisco по поддержке IPS, посетите web-страницу
http://www.cisco.com/en/US/products/ps6498/index.html.
© Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 5 из 5