Вебинар ИБ АСУ ТП non-stop. Серия №11

Copyright © 2016 Rockwell Automation, Inc. All rights reserved.

Решения Rockwell Automation для

обеспечения кибербезопасности

промышленных систем

автоматизации и управления

Алексей Шмидт

Главный специалистОтдел промышленнойавтоматизации


Наследование традиций

2

1903

1909

ИСТОРИЯ

1907

1994

1965-2013

1991-2013

СЕГОДНЯ

Программное обеспечение и услуги для

улучшенного управления тех.процессом,

математического моделирования и

оптимизации.

Системы безопасности,

предаварийной защиты

Программное обеспечение

программирования

контроллеров, сбора данных, и

визуализации

ПЛК, Системы Управления и

безопасности, Панели

оператора,

Преобразователи

частоты, компоненты

автоматизации


Оптимальные решения для широкого спектра

индустрий

3

Автомобилестроение

Напитки

Химическое производство

Развлечения

Волокно и текстиль

Продукты питания

Инфраструктура

Фармацевтика

Морская промышленность

Металлургия

Горнодобывающа промышленность, цемент

Бытовые и гигиенические принадлежности

Нефть и газ

Энергетика

Печать и издательское дело

Технологические процессы

Целлюлозно-бумажнаяпромышленность

Полупроводники и электроника

Шины и резина

Водоочистка и водоподготовка


СИСТЕМА

УПРАВЛЕНИЯ

Система учета энергоресурсов

ПРОМЫШЛЕННЫЙ Интернет вещей (IIoT)

СИСТЕМА

УПРАВЛЕНИЯ


Основные угрозы безопасности

Угрозы безопасности влияют на систему управления производственными процессами,

безопасность ее работы, интеллектуальную собственность

Непреднамеренные

действия

пользователей

Кража

данных

Неавторизованные

действия

пользователей

Неавторизованный

доступОтказ в

обслуживании

(DoS)

Обновления в ПО

Неавторизованный

удаленный доступ

ЧП техногенного и

природного

характера

Саботаж

Черви и вирусы


Defense-in-DepthТребования ИБ определяют технические требования

8

Физическая безопасность – ограничение физического - доступа только для

авторизованного персонала: цеха/технологические установки, ШУ, УСО,

кабельная инфраструктура, пультовые и проч.

Сетевая безопасность – инфраструктура, МСЭ, системы

определения /предотвращения вторжения (IDS/IPS),

управляемые коммутаторы, роутеры

Компьютерная защита – управление патчами

и обновлениями ОС, антивирусная защита,

управление протоколами/сервисами, портами

Безопасность приложения – аутентификация,

авторизация, программный аудит (ААА)

Защита устройств – определение изменений, контроль

версий, ограниченный доступ


Connected Enterprise

9

Содружество партнеров

RockwellAutomation

Интегрирование управление и

автоматизация

Cisco

Сетевые решения, беспроводные технологии и безопасность

Panduit

Физические компоненты

сетевого оборудования

VMware

Дата-центрыПлатформы

виртуализации

ROCKWELL AUTOMATION & ПАРТНЕРЫ

Microsoft

ОС, БД / Облачные технологии &

Информационная безопасность

PartnerNetwork

Kaspersky Lab

Антивирусная защита и

информационная безопасность


Инновационный подход к безопасности в промышленных системах управления

Построение решение и продуктов по требованиям

безопасности (качество безопасности)

10

Создание выгоды для заказчиков от использования

безопасности (ценность безопасности)


Качество безопасностиТестирование на отказоустойчивость и надежность (R&R)

Ключевая часть исследовательской группы по

безопасности

Уменьшение риска для заказчиков

Критично для целей по промышленной


Определение слабых сторон и уязвимостей

Улучшение отказоустойчивости и надежности

Анализ всех продуктов и решений RA

Использование стандартизованных практик и

методик, инструментов (ISA Security Compliance

Institute)

Уязвимости продуктов и решений:

Исследуем, исправляем, поддерживаем заказчиков.

11

Copyright © 2016 Rockwell Automation, Inc. All rights reserved. 12

12

Ценности безопасностиОсновные положения

Безопасная сетевая

инфраструктура

Контроль доступа в сеть и

определениенежелательных

действий

Защита контента

Защита от просмотра, редактирования и

использования специфической

информации управляющего

приложения

Управление политиками

доступа

Кто, где, когда имеет доступ к приложениям и

устройствам

Обнаружение несанкционирован

ного доступа

Определение и регистрация

нежелательного использования и

изменения управляющего

приложения


Эшелонированная защита

13

Физическая безопасность – ограничение физического доступа - только для













Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.

ПО Визуализации и Информационное

ПО Распределенная система управления

Управление перемещением

Управление двигателями

Платформы ввода-вывода

Инженерное программное обеспечение

Программируемые контроллеры автоматизации

Панели оператора и промышленные ПК

Сетевое оборудование для

промышленной сети

Многопрофильное управление

ДИСКРЕТНОЕ | УПРАВЛЕНИЕ | УПРАВЛЕНИЕ | ВСТРОЕННЫЕ | УПРАВЛЕНИЕ

УПРАВЛЕНИЕ ДВИГАТЕЛЯМИ ПЕРЕМЕЩЕНИЕМ ФУНКЦИИ НЕПРЕРЫВНЫМИ

БЕЗОПАСНОСТИ ПРОЦЕССАМИ


Физическая безопасность(безопасность сетевого оборудования)

15

Решения для различных сред передачи (оптика, «медь»)

запирающие, блокирующие устройства для физических портов

Цветовое кодирование портов доступа


Безопасность промышленных сетейEtherNet/IP для систем управления

16

Структурированная и безопаснаяпромышленная сетевая топология

Одноуровневая и открытая промышленная сетевая

топология

Одноуровневая и открытая промышленная сетевая

топология

Copyright © 2016 Rockwell Automation, Inc. All rights reserved. 17

Безопасность промышленных сетей

Рекомендуемые архитектуры

Структурированная и безопасная

промышленная сетевая топология

Политики безопасности (АСУТП)

Всеобъемлющая система

безопасности, а не «лоскутный»

подход

Применение промышленных DMZ

Удаленный доступ в систему с

политиками безопасности.

Сетевая безопасность не должна нарушать работу промышленных

систем управления

КИУС

Catalyst 3750StackWise

Switch Stack

МСЭ(Основной)

МСЭ(Резерв)

ЦУД

HMI

Промышленные DMZ (IDMZ)

Enterprise ZoneLevels 4-5

CiscoASA 5500

Контроллерв, В/В, Привода

Catalyst6500/4500

ПП

В/В

Физические или виртуальные серверы

Отказоустойчивая сетевая топология

VLANs

Стандартные DMZ

Контроль доступа в сетевую инфраструктуру

Физическая безопасность портов

Level 0 - ProcessLevel 1 - Controller

Производственный МСЭ: Сегментация

трафика ACL, IPS, IDS Сервисы VPN, proxy

VLANs, СегментацияДоверенные узлы

Сервер аутентификации,

AАА (AD)

RAS

Защита клиента

Level 3 – Site Operations

Контроллер

Управление и диагностика сети

ПРЧ

Level 2 – Area Supervisory Control

Физическая защита контроллера

Клиент FactoryTalk

Управление угрозами (UTM)

Контроллерная защита, Зашифрованные

коммуникации

Контроллер

Copyright © 2015 Rockwell Automation, Inc. All Rights Reserved.PUBLIC

18

Сетевое оборудование StratixTM предлагает современную платформу с возможностями управления сетевым

трафиком, с функциями безопасности для построения любых приложений: от простых до сложных. Набор

решений включает в себя продукты беспроводных технологий, в “пристаночном” исполнении, для монтажа в

стойку и моноблочного исполнения. Средства конфигурации включают в себя в том числе инструменты,

знакомые ИТ профессионалам, средства интеграции производственных и корпоративных систем.

Stratix 8000™/Stratix 8300™

…и АСУП

Отвечает

требованиям

АСУТП…

Stratix 5900™

Stratix 2000™

Stratix 5100™

Stratix 5700™

1783-NATR

ArmorStratix™ 5700

Продукты сетевой инфраструктуры и безопасности

Stratix 5400™

Stratix 5410™

Встроенные технологии Cisco

Cisco – лидер в области управления сетями


Ценность безопасностиСетевое оборудование Stratix

Управление производительностью сетевой инфраструктуры

QoS – Quality of Service – специализированные конфигурации для поддержки приложений

дискретной автоматизации, задач ПАЗ, управлению перемещением, непрерывными и

периодическими процессами на основе протокола CIP и сети Ethernet/IP

IEEE1588 (CIP Sync) – имплементация протокола IEEE 1588 для синхронизации точного времени

всех устройств на сети EtherNet/IP

Простота в проектировании, запуске в работу и обслуживании

DHCP на порт - специализированные IP адреса на порт, для сетевой идентификации узлов в

системе управления

Диагностика кабельных соединений - обрыв, замыкание, наводки и др. с передачей на уровень

управляющего контроллера

Трансляция сетевых адресов – NAT – преобразование адресов 1:1 IP для объединения

одинаковых технологических установок в единую сетевую архитектуру.

Специально разработаны для применения в промышленных сетях EtherNet/IP


Ценность безопасностиСетевое оборудование Stratix

Защита узлов системы управления Защита приложения и управление контроллером

Контроллер управляет портами (on/off)

Специальные теги идентификации неавторизованных устройств

Конфигурируемая безопасность портов Предконфигурируемые настройки безопасности (smartports)

Количество устройств на порт

Аутентификация MAC ID

Защита сетевой инфраструктуры предприятия Шифрование административного трафика

VPN, SSHv2, SNMPv3 и HTTPS

Дополнительные функции безопасности 802.1x аутентификация пользователей

Многоуровневая парольная защита

Списки контроля доступа (ACLs) для политик безопасности для портов

Централизованная аутентификация TACACS+ и Radius

Простые инструменты для защиты узлов системы управления – дополнительные

функции для соответствия ИТ стандартам и политикам безопасности


Примеры продуктов и решений

21


Эшелонированная защита

22

Физическая безопасность – ограничение физического доступа - только для














Ценность безопасностиНесанкционированное вмешательство

Решение от Rockwell Automation включает в себя:

Цифровые подписи ВПО ПО для аудита FactoryTalk AssetCentre Логирование и определение изменений в

в контроллере Программные блоки с высоким уровнем

интеграции

23

Определение несанкционированного вмешательства позволяет пользователям быстро определить изменения в системе

управления


Несанкционированное вмешательство ВПО с цифровой подписью

Защита ВПО от случайного или преднамеренного повреждения

Проверка достоверности ВПО (оно выпущено производителем)

Когда было это представлено:

Все новые продукты имеют ВПО с цифровой подписью (Новые поколения контроллеров, сетевого оборудования и проч.)

Новые версии ВПО существующих продуктов (коммуникационные модули и др.)

Каким образом это работает:

Rockwell Automation выпускает ВПО со специализированным цифровым ключом

При обновлении ВПО устройства локально проверяют ВПО со свободно распространяемыми ключами и встроенными в ВПО

Если ВПО были изменены и ключи не совпадают, то процедура обновления/изменения ВПО не происходит

24


Несанкционированное вмешательствоОпределение изменений в контроллере

• Каждый контроллер (Logix) предоставляет специальный параметр - Change Detection Audit Value

• При любом действии, которое может повлиять на контроллер – параметр изменяется

• Параметр доступен для контроля в инженерном ПО, в других информационных пакетах, даже доступен для межконтроллерного обмена.

• События для изменения параметра могут бытьсконфигурированы.

25


Несанкционированное вмешательствоОпределение изменений в контроллере

Параметр храниться в каждом контроллере (специальный лог)

Пример информационного ПО - FactoryTalk® AssetCentre, для

контроля изменений в контроллере.

26


Программные блоки позволяют вам генерировать цифровые подписи для программных инструкций

Программные блоки используются: В отраслях с большой долей регулирующих документов для аудита и сериализации

Фармацевтика, пищевая, специальная металлургия Для контроля изменения и ревизий в стандартизованных библиотеках

Несанкционированное вмешательствоПрограммные блоки с высоким уровнем интеграции


Ценность безопасностиЗащита приложения

Решение от Rockwell Automation включает в себя:

Защита управляющего кода Logix Source Protection Контроль доступа к данным Служба FactoryTalk Security

28

Защита приложения позволяет пользователям контролировать доступ к специфическим объектам системы управления

(контроллеры, ЧМИ и проч.)


Защита приложенияЗащита управляющего кода

29

Парольная защита любой программы или дополнительной (Add-On)

инструкции


Защита приложенияКонтроль доступа к данных

Атрибут для внешнего доступа – Чтение/запись и др. (Read/Write, Read Only, None)

Контроль тегов для изменения с помощью HMI или внешнего программного обеспечения.

Атрибут для констант

Контроль изменения значения тега в приложении контроллера

Изменения данных констант отображаются в параметре «Change Detection»

Служба FactoryTalk Security может контролировать параметры доступа к изменениям данного атрибута констант

30


Защита приложения:Служба FactoryTalk Security

Данная служба используется:

Для управления внутренними угрозами информационной безопасности путем

аутентификации пользователей и авторизации их для использования программного

обеспечения Rockwell Automation для доступа к элементам системы управления

(контроллерам, ПО, в/в и т.д.)

Предоставляется централизованное управления проверки пользователей, их запросов на

выполнение каких либо действий в системе управления.

• Аутентификация пользователей• Авторизация на использование

приложений• Авторизация на доступ к устройствам

РепозиторийFactoryTalk Directory

Все ПО со встроенной службой FactoryTalk Security

31


Администраторы проекта системы

управления

Учетные записи

Windows

FactoryTalk

Группы пользователей

Группы, роли

Группы Windows

Серверы, ИС, АРМ

Системные политики

Политики инженерного ПО

Политики устройств

32

Ценность безопасностиЗащита приложения


ИС #2

Пример работы FactoryTalk Security

3333

ИС #1

Logix 5000 Project

FactoryTalk

Services

Служба FT Security

Настройки


Logix 5000 Project

FactoryTalk

Services

Настройки


ID = 795D5EF-12... ID = A73R5CG – 89...

ID= 795D5EF-12.. ID = 795D5EF-12…

EtherNet/IP

Совпадение ID’s Несовпадение ID’s

Служба FT Security


Что вы можете сделать сейчас, чтобы снизить риск

Используйте 8 шагов для улучшения безопасности и надежности:

1. Доступ к управлению имеет только тот, кто авторизован на

доступ (н-р к сетевой инфраструктуре)

2. Применяйте МСЭ и системы определения /предотвращения

вторжения (IPS)

3. Используйте антивирусное ПО и обновляйте систему

4. Управляйте и защищайте учетные записи

5. Переведите ключи процессоров в режим Run

6. Используйте встроенные возможности по безопасности в

продукты Rockwell Automation (н-р FactoryTalk Security)

7. Разработайте политики работы с переносные запоминающие

8. Блокируйте порты доступа в сеть (физические ключи)


Rockwell Automation Ресурсы и дополнительная информация

Обучающие семинары

Мультиме-дия и видео

Специали-зированный

сайт

Ассоциация Industrial IP Advantage

УниверситетSANS

Непрерывное обучение из множества источников


Алексей Шмидт

Главный специалистОтдел промышленнойАвтоматизации

[email protected]

СПАСИБО ЗА ВНИМАНИЕ!

Вебинар ИБ АСУ ТП non-stop. Серия №11

Business