ЗАЩИТА И КОНТРОЛЬ ПОДКЛЮЧЕНИЙ...

Honeywell - © 2018 by Honeywell International Inc. All rights reserved.

VI конференция «Информационная безопасность АСУ ТП критически важных объектов»

ЗАЩИТА И КОНТРОЛЬ ПОДКЛЮЧЕНИЙ

ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ К АСУ ТП И MESРуслан Стефанов

Февраль 27-28, 2018


Honeywell Industrial Cyber Security

1


Всеобъемлющий подход Honeywell

2


Honeywell в России и ЕврАзЭс

Присутствие в России

• 1974 год – открытие представительства в Москве

• Представлены все бизнес-подразделения и функции (инженеры,

отдел продаж, маркетинга, логистика, тех. поддержка и т.д.)

• Производство в Москве и Арзамасе, заканчивается строительство

завода в Липецке.

• Системы автоматизации Honeywell и технологии UOP установлены на

всех крупнейших НПЗ России.

• Оборудование компании установлено на олимпийских объектах в

Сочи, КТК, магазинах ИКЕА, МЕГА, в Государственном Эрмитаже,

Большом театре.

• Авионика Honeywell, вспомогательные силовые установки и другая

продукция устанавливаются на самолеты российских перевозчиков и

на многие типы самолетов (SSJ100, MC21) и вертолетов российского

производства.

Более 1000сотрудников

25 офисов в России,

Беларуси, Казахстане,

Узбекистане, Азербайджане

3


Производство в России

4

• Производственная площадь: 6070 м2

• Персонал: 219 человек

• Успешная локализация КИПа

- Производство;

- Метрологические лаборатории;

- Инженерные службы;

- Разработка программного обеспечения и систем

телеметрии.

• Ввод в эксплуатацию – нач. 2018 г.

• Производственные возможности:

- Компоненты для систем автоматизации,

контроля, защиты и безопасности объектов и

персонала;

- Сборка и тестирование систем управления.

г. Липецкг. Арзамас


Лицензии ФСТЭК России

5


Портфель решений компании в России

6

Управление защитой

Защита от вторжений и разведка угроз

Защита приложений и конечных точек

Межсетевые экраны

Защита сетей

Российскиепроизводители и

интеграторы


Решения Honeywell в России

7

МераКласс

защищенности Техническое решение HoneywellИАФ.1, ИАФ.5, ИАФ.6 Все Считыватели карт и сканеры отпечатков пальцев

АНЗ.1-4,УБИ.1-2 Все

Оценка защищенности АСУ ТП (например, по уровню SAL2 и SAL3 стандарта IEC62443)Оценка состояния сетевой инфраструктурыОценка состояния беспроводной инфраструктурыКомплаенс-аудит (на соответствие требованиям Приказа №31)

АВЗ.1 ВсеПоставка и развертывание ПО антивирусной защиты в конфигурации протестированной Honeywell (Symantec / McAfee)

СОВ.1 1 Обнаружение вторжений (Cisco ASA FirePower)

УПД.3, ЗИС.17, ЗИС.22, ЗИС.23 Все

Защита периметра, межсетевой экранирование, сегментирование, создание технологической ДМЗ (Cisco ASA)

УПД.3, ЗИС.17, ЗИС.22, ЗИС.23 Все

Защита периметра, межсетевой экранирование, сегментирование, создание технологической ДМЗ (Tofino Modbus TCP)

АВЗ.2, ОПО.1-2 ВсеОказание годовых услуг по обеспечению защиты АСУ ТП (Managed Security Services), включая развертывание решения по защищенному удаленному доступу

УПД.13, УКФ.5 ВсеСоздание системы защищенного удаленного доступа и оказание услуг управления защитой (Ежегодные пакеты услуг Essential, Enhanced и Premium для ICS Shield)

ОДТ.4 ВсеСоздание системы периодического резервного копирования и восстановления (ExperionBackup and Restore EBR)


Решения Honeywell в России

8

МераКласс

защищенности Решение Honeywell

ОПС.1 1Усиление антивирусной защиты при помощи контроля запуска приложений по белым спискам (Application White Lising AWL)

ОЦЛ.1 1, 2 Контроль целостности программного обеспечения (Application White Lising AWL)ЗНИ.5 1, 2 Контроль использования интерфейсов ввода/вывода (Application White Lising AWL)

ЗНИ.5 1, 2 Проактивная защита периметра от угроз сменных USB-носителей информации (SMX+ATIX)

ЗНИ.7 Все Проактивная защита периметра от угроз сменных USB-носителей информации (SMX+ATIX)

ЗНИ.3Компенсационная мера Проактивная защита периметра от угроз сменных USB-носителей информации (SMX+ATIX)

АНЗ.3 Все

Приведение настроек хостов и сетевых устройств в соответствие с протестированными и рекомендованными компанией Honeywell (Best Practice Network & EndPoint Security Hardening)

РСБ.2-7, АНЗ, УБИ Все

Создание централизованной единой системы мониторинга рисков защиты АСУ ТП предприятия для АСУ ТП разных производителей (не только компании Honeywell) (Risk Manager)

УКФ2-5 Все Создание централизованной системы управления конфигурацией АСУ ТП (TRACE)

ДНС.3, ДНС.4 1, 2

Backup Control Center (BCC) - лицензируемая опция Experion, которая поддерживает принцип непрерывности бизнеса. BCC позволяет настроить, более чем одну пару серверов, расположенных в разных помещениях.


Центры Эффективности: Инновации и Услуги защиты

9

Разработка решений

Обучение и сертификация

Демонстрация решений

Заказчикам

Исследования и тестирования

Услуги управления

защитой

Houston

Центр оказания услуг защиты

Singapore

Bucharest

Инновационный центр киберзащиты

Dubai

Atlanta

Исследовательская лаборатория киберзащиты

Edmonton

Phoenix

Amsterdam

Bangalore

Инновационный центр киберзащиты в Атланте


Лаборатория промышленной киберзащиты

10

Демонстрация

продуктов

Обучение и

сертификация

Разработка

решений

• Первый день. Вводные мероприятия- Знакомство с направлением HICS, лабораторией, продуктами и

услугами

- Услуги HICS. Анализ уязвимостей. Программа обновления сетевого оборудования

- Продукты HICS. Демонстрация продуктов (SMX)

- Обсуждение результатов

• Второй день. Моделирование кибератак- Сценарий кибератаки 1 (разведка, выявление удаленных сервисов)

- Услуги HICS. Managed Industrial Cyber Security Services

- Сценарий кибератаки 2 (использование незащищенных узлов, подготовка APT)

- Продукты HICS. Демонстрация продуктов (AWL)


• Третий день. Моделирование кибератак- Сценарий кибератаки 3 (DoS атака, потеря наблюдаемости и контроля

над процессом)

- Продукты HICS. Демонстрация продуктов (RiskManager)


Инновационный центр киберзащитыв Дубае


Honeywell

ICS Shield

Защита и контроль подключений

привилегированных

пользователей

11


• AAA удаленный доступ

• Хранилище паролей

• Защищенные распределение файлов и передача данных

Соединить• Исправления и обновления

• Сбор логов событий

• Белые/черные списки портов и сервисов

• Резервное копирование и восстановление

• Создание специальных правил

• Отчеты о соответствии требованиям (комплаенс)

Защитить

• Авто-обнаружение активов

• Сбор конфигураций

• Классификация активов

• Управление изменениями

• Визуализация активов

Обнаружить

12

ICS Shield: Платформа управления операциями и защитой

Бизнеслогика

Видимость НадежностьСоответствие

требованиям

Инфраструктура и сервисы

Защищенный

канал

Распределенная

архитектура

Менеджер

политик

Генератор

отчетов


13

Включает пакет Essential и следующие способности:

• Защищенная раздача файлов и передача данных

• Обновления

• Сбор логов

Защитить при помощи

обновлений безопасности

и передача данных

Включает пакет Enhanced и следующие способности:

• Непрерывное автоматическое обнаружение активов (пассивное обнаружение - опционально)

• Отчеты / предупреждения

• Мониторинг

• Сканирование уязвимостей

• Проверка соответствия требованиям

Поднять уровень

защиты при помощи

мониторинга и

сканирования

Обнаружить и соединить

при помощи защищенного

удаленного доступа

• Защищенный удаленный доступ

• Двух-факторнаяаутентификация

• Хранилище паролей

• Аудит: отчеты и проигрывание видео

• Первичное обнаружение активов (опциональное ПО/сервис)

ICS Shield – программные пакеты

Essential Enhanced Premium


ICS Shield архитектура и развертывание

14

Virtual Security Engine

Распределенная архитектура и защищенный канал между заводами и операционным центром

• Установка Центра защиты (SC) в операционном центре

• Установка виртуальных движков защиты (VSE) на каждом заводе

• Настройка исходящего защищенного канала по порт 443 с шифрованием TLS

• Одно правило межсетевого экрана (МЭ) для всех удаленных соединений


А как это работает?(базовый пакет Essential)

15


Шаг 1 – Подключение к защищенной сети (VPN)

Удаленный Инженер входит в сеть Honeywell Secure Services Network (HSSN) при

помощи имени пользователя/пароля и аппаратного токена/PIN.

username

**********

************


Шаг 2 – Регистрация в Сервисном Центре

Инженер вводит свои учетные данные в окне Сервисного Центра.


Сводная информация о площадке

На домашнем экране Сервисного Центра инженер видит обзор состояния удаленной

площадки.


Доступ к активам разграничен

При помощи вкладки Sites инженер находит узел, к которому требуется доступ.

Вкладка Summary показывает состояние данного узла.


Шаг 3 – запрос удаленного доступа

При помощи вкладки Sites инженер находит узел, к которому требуется доступ.

Вкладка Summary показывает состояние данного узла.


Выбор параметров соединения

Соединение с удаленным рабочим столом возможно по VNC или RDP. Сессии VNC

можно записывать и просматривать. Соединение с сетевыми устройствами возможно

по Telnet и SSH.

123456

Test Remote Access


Запрос отправлен на одобрение персоналу на площадке

Теперь соединение должно быть одобрено персоналом удаленной площадки


Тем временем на площадке…

На площадке клиента, ответственный сотрудник должен согласовать запрос

удаленного соединения при помощи Сервисного узла.

username

*********


Запрос на выполнение работ ожидает согласования

После входа, он видит уведомление о новом запросе удаленного соединения.


Шаг 4 – Согласование получено

Запрос рассматривается и при возможности его удовлетворить согласуется

ответственным сотрудником площадки.


Шаг 5 – подключение к активу

После получения согласования, удаленный инженер может наконец подключиться к

серверу Experion.


Шаг 6 – Пароль для доступа к активу

При этом для сессий VNC требуется ввод отдельного пароля. Для сессий Remote

Desktop потребуется стандартная процедура аутентификации Windows.

******


Защищенный удаленный доступ активен

Соединение установлено, работа с удаленной системой выполняется, как если бы она

была прямо перед инженером.


Наблюдение и управление сессией удаленного доступа

Персонал площадки может непрерывно наблюдать за удаленной сессией при помощи

Сервисного узла, и оборвать ее в любой момент.

Эта кнопка

обрывает

сессию

удаленного

доступа.

Эта кнопка

начинает

наблюдение за

удаленной

сессией.


Участие в работе

В процессе наблюдения ответственный сотрудник на площадке может участвовать в

работе сессии удаленного инженера.


Шаг 7 – Корректное завершение сессии

После завершения работы удаленная сессия должна быть отмечена как завершенная.

Это гарантирует выполнения процесса согласования для последующих соединений.


Просмотр записанных сессий

Сессии VNC могут быть просмотрены при помощи проигрывателя VNC, как в

Сервисном Узле площадки, так и в Сервисном Центре. Записи можно скачивать,

поигрывать и архивировать.


Risk Manager

Как оценить качество услуг

защиты?

33


Industrial Cyber Security Risk Manager

34

Непрерывная, в реальном времени наблюдаемость и поддержка принятия решений

Идентификация уязвимостей и угроз, а также количественная оценка и приоритезация рисков

Интуитивно понятный интерфейс, доступный дежурному персоналу на местах и не требующий квалификации эксперта ИБ

Поддержка всех АСУ ТП на базе ОС Windows

Использование инструментов ОС Windows не оказывает влияния на работу АСУ ТП

Интеграция с корпоративной SIEM (напримерHP ArcSight), как основной источник данных от АСУ ТП

Первый в своем класседля промышленных систем


Сбор событий по 4 направлениям защиты

35

• Защита конечных точек (включая контроллеры АСУ ТП Experion (IAA))

- Антивирус (McAfee VirusScan Enterprise, Symantec Endpoint Protection)

- Белые списки приложений (Bit9 Security Platform & McAfee)

- События безопасности Windows

• Сетевая защита

- Сетевые устройства с поддержкой SNMP v1/v2

- Предотвращение вторжений (Cisco Sourcefire Intrusion Prevention System)

- Palo Alto Next Generation Firewall

• Обновление программного обеспечения

- Базовые обновления Windows (все устройства Windows)

- Обновления ПО Microsoft и др. (устройства Experion)

- Обновления McAfee, Symantec (устройства Experion)

- Обновления Adobe Reader (устройства Experion)

• Резервное копирование

- Experion Backup and Restore (EBR)

- Windows Backup and Restore


Заключение

36


Ресурсы

37

Обновления

безопасностиhttps://www.honeywellprocess.com/en-

US/support/Pages/security-updates.aspx

Сайт HICSwww.becybersecure.com

Сообщить об

уязвимостиhttps://honeywell.com/pages/v

ulnerabilityreporting.aspx

https://www.ruscadasec.ru/

https://www.honeywellprocess.com/en-US/support/Pages/security-updates.aspx

http://www.becybersecure.com/

https://honeywell.com/pages/vulnerabilityreporting.aspx

https://www.ruscadasec.ru/


38

Спасибо за вниманиеwww.becybersecure.com

ЗАЩИТА И КОНТРОЛЬ ПОДКЛЮЧЕНИЙ...

Documents