УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"

Решения для ИБ АСУ ТП

Алексей Комаров Менеджер по развитию решений

Уральский Центр Систем БезопасностиЧелябинск 22 сентября 2016 года

• Типичные инциденты ИБ в АСУ ТП и их причины

• Выбор стратегии защиты • Решения по обеспечению ИБ АСУ ТП

• Классы решений • Экспресс-обзор рынка решений по мониторингу ИБ АСУ ТП

• Комплексный подход к ИБ АСУ ТП

Содержание

Наш опыт в ИБ АСУ ТП

• Разработка корпоративных стандартов • Аудиты действующих АСУ ТП • Проектирование СОИБ АСУ ТП • Ввод в эксплуатацию и поддержка систем обеспечения ИБ АСУ ТП • Разработка собственного решения - DATAPK

3

Число инцидентов по годам• В 2015 инцидентов ИБ АСУ ТП зафиксировано на 15% больше, чем в любом из прошлых лет. Рост год к году составил 20%.

• Из 314 опрошенных компаний-владельцев АСУ ТП в 2015 году • 34% подтвердили, что сталкивались с инцидентами более двух раз за последний год,

• из них 44% не смогли определить источник атаки.

4источники: ICS-CERT, SANS

5источники: ICS-CERT, Booz Allen

Примеры инцидентов и их последствия

В АСУ ТП происходят инциденты ИБ

6

Дата Страна Инцидент

дек 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод.

июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы.

фев 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища.

март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании. 

июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы

июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера

сент 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак

дек 2015 США Иранские хакеры атаковали дамбу в Нью-Йорке

дек 2015 Украина Замминистра энергетики США обвинила Россию в организации блэкаута на Украине

март 2016 Япония Хакеры случайно получили доступ к SCADA-системе водоочистной станции и ради интереса изменили ее настройки

апр 2016 Германия На компьютерах германской АЭС нашли малварь

Некоторые инциденты ИБ АСУ ТП, источники: СМИhttp://ZLONOV.ru (ИБ АСУ ТП -> инциденты)

Типичные инциденты ИБ в АСУ ТП и их причины• Халатность • Направленные атаки • Хищение

Что может случиться на практике?• Халатность

• Подключение внешних устройств (носители информации, модемы и пр.)

• Подключение сторонних СВТ (свой ноутбук для игр) • Направленные атаки

• Шпионаж • Саботаж

• Хищение • Сырья, готовой продукции • Ресурса производственной линии (изготовление неучтенной продукции)

8

Халатность

9

НаладчикрешилбыстренькопочитатьсправкупоSCADA вИнтернете

Операторрешилпосмотретьфотографиисотпуска

Подключениесъемногоносителя

ЗаражениевредоноснымПО

НарушениеработыСВТ

Блокированиедоступак

СВТ/информации

Подключение3G-модема

АтаканаСВТсцельювключенияв

ботсеть

НарушениеработыЛВС

10

11

12

Направленная атака на АСУ ТП

13

Реализация«классической»

угрозыИБ

ВнесениеизмененийвработуАСУТП

НекорректнаяреализацияТП

ИБ

ПБ

Объектатаки:• АРМ,серверы,АСО• ОбщееПО

Цельатаки:• Закрепитьсявзащищаемом

периметре

Объектатаки:• ПЛК• СпециальноеПО

Цельатаки:• Получениевозможности

манипуляцииТП

Объектатаки:• ТОУ

Цельатаки:• НарушениереализацииТП• Порчаоборудования

Хищение

14

ВнесениеизмененийвработуАСУТП

Некорректныйучетресурсов

Объектатаки:• ПЛК• СпециальноеПО

Цельатаки:• Получениевозможности

манипуляцииТП

Объектатаки:• ТОУ

Цельатаки:• НарушениереализацииТП• Порчаоборудования

Выбор стратегии защиты• Временной вектор атаки • Выбор стратегии защиты • Жизненный цикл АСУ ТП • Факторы и мероприятия ИБ • Модель защиты АСУ ТП

Временной вектор атаки

16

Подготовка Реализация Нанесениеущерба

Проактивная защита Активнаязащита Реактивнаязащита

В традиционных системах все 3 стадии могут проходить за считанные секунды, в АСУ ТП –

могут длиться годы

Выбор стратегии защиты

17

Проактивная защита Активнаязащита Реактивнаязащита

Цельстратегии:� Недатьпроизойти

инцидентуСпособдостижения:� Блокировка

нежелательныхизмененийсостояниясистемы

Цельстратегии:� Выявитьатакувходе

реализацииСпособдостижения:� Анализ состояний

системысцельювыявленияподозрительныхизменений

Цельстратегии:� Минимизироватьущерб

отреализацииинцидента

Способдостижения:� Возврат системыв

целевоесостояние

Жизненный цикл АСУ ТП

• Упрощённо жизненный цикл АСУ ТП можно представить в виде четырёх основных этапов:

• Отдельно нужно рассматривать этап модернизации, когда система фактически проходит упрощённый вариант подцикла Проектирование - Создание - Эксплуатация.

18

Жизненный цикл СОИБ

• Система обеспечения информационной безопасности (СОИБ) точно также проходит соответствующие этапы жизненного цикла:

• в идеальном случае этапы жизненного цикла СОИБ по времени совпадают с этапами жизненного цикла самой АСУ ТП

19

Особенности этапа эксплуатации АСУ ТП• Самая протяжённая во времени стадия жизненного цикла • АСУ ТП не является неизменной:

• изменение конфигураций компонентов АСУ ТП,

• обновление программного обеспечения, • замена компонентов, вышедших из строя и т.п.

• Может поменяться перечень актуальных угроз • выявления в компонентах АСУ ТП новых уязвимостей

• Могут модифицироваться сами требования обеспечения ИБ • изменения законодательных или отраслевых требований, • пересмотр корпоративной политики

20

Факторы и мероприятия ИБ

21

Факторы Мероприятия ИБ

Изменение компонентов АСУ ТП и/или их конфигураций

• Инвентаризация компонентов АСУ ТП• Контроль конфигураций компонентов АСУ ТП

• Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП

Возникновение новых уязвимостей

• Контроль защищённости компонентов АСУ ТП

• Обнаружение компьютерных атакИзменение требований по обеспечению ИБ

• Контроль соответствия требованиям по обеспечению ИБ

Проектирование ИБ АСУ ТП

• Какие решения выбрать? • Оценка влияния на АСУ ТП? • Одобрение производителей АСУ ТП?

• Бюджет?

22

Внедрение/сопровождение ИБ АСУ ТП

• Основания для модернизации/подключения? • Как проводить приёмо-сдаточные испытания? • Кто отвечает за эксплуатацию?

• Кто несёт ответственность? • Какие гарантии? • Срок гарантии?

23

Оптимальный (?) вариант

• Поставка решений по ИБ в составе самих АСУ ТП • ИБ - встроенный функционал • Единая гарантия и пр.

• НО! • Только для новых/модернизируемых систем

24

Модель защиты АСУ ТП

25

Смежнаясистема

Односторонний(псевдоодносторонний)каналсвязи

Непрерывныймониторинготклонений

Довереннаясистема• КонтрольцелостностиПОи

конфигурации(программной иаппаратной)

• Контрольинформационныхпотоков• Отсутствиеинструментоввнесения

изменений(втомчисле,вконфигурации)

Решения по обеспечению ИБ АСУ ТП• Классы решений • Экспресс-обзор отечественных решений по мониторингу ИБ АСУ ТП

• Возможности комплексного решения по реализации концепции непрерывного мониторинга состояния ИБ

Классы решений в области ИБ АСУ ТП• Средства мониторинга• Сканеры защищённости • Однонаправленные диоды

• Промышленные межсетевые экраны • Криптографические модули и СКЗИ • Специализированные СЗИ от НСД*

27* - формально они существуют, но на практике почти не применяются

Решения по мониторингу ИБ АСУ ТП

28

InfoWatch ASAP

• Состав решения: • InfoWatch ASAP

• Основные функции решения: • Выявление несанкционированных подключений к каналам связи АСУ ТП

• Поиск аномалий протекания ТП

• Особенности решения: • Устанавливается в разрыв каналов связи (в том числе полевого уровня)

29

Positive Technologies ISIM• Состав решения:

• PT ISIM

• PT MaxPatrol

• Основные функции решения: • Сбор, анализ, корреляция событий ИБ • Визуализация атак • Поиск уязвимостей • Контроль конфигураций на соответствие требованиям по ИБ

• Особенности решения: • Работа в пассивном режиме (PT ISIM)

30

Kaspersky Industrial CyberSecurity• Состав решения:

• KICS4Nodes

• KICS4Networks

• Основные функции решения: • Контроль приложений и съемных устройств на СВТ под управлением ОС Windows

• Анализ сетевого трафика, направленного на ПЛК

• Особенности решения: • Требует установки агентов на СВТ (KICS4Nodes)

• Работа в пассивном режиме (KICS4Networks)

31

DATAPK• Состав решения:

• ПАК DATAPK

• Основные функции решения: • Ведение каталога ОЗ, выявление изменений в составе ОЗ • Анализ сетевых потоков • Сбор, анализ, корреляция событий ИБ • Поиск уязвимостей, контроль соответствия требованиям

• Управление конфигурацией ОЗ

• Особенности решения: • Работа в пассивном режиме

32

Функции системы мониторинга (пример)

• Инвентаризация компонентов АСУ ТП • Контроль конфигураций компонентов АСУ ТП • Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП • Контроль защищённости компонентов АСУ ТП • Обнаружение компьютерных атак • Контроль соответствия требованиям по обеспечению ИБ

33

Функциональная структура системы мониторинга (пример)

34

Каталогобъектовзащиты

Модульсбора ианализасобытийИБ

КаталогтребованийпоИБ

МодульуправленияконфигурациейОЗ

Модульоценкисоответствия

ипоискауязвимостей

Каталогуязвимостей

ЖурналсобытийИБ

МодульобеспеченияИБ

Комплексный подход к ИБ АСУ ТП• Построение комплексного решения • Безопасность – процесс, а не продукт

Построение комплексного решения• Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии

36

Приказ ФСТЭК России от 14.03.2014 №31

КСПД

Построение комплексного решения• Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии

37

Приказ ФСТЭК России от 14.03.2014 №31

КСПД

Построение комплексного решения

38

РазработкатиповойархитектурысистемызащитыдляклассаАСУ(САУ,

АСДУ,АСУЭипр.)

РазработкастандартабезопасностиотдельныхкомпонентовАСУ(ОС,

SCADA,АСО,ПЛК)

Разработкамероприятийпореализациистандартабезопасности:безопаснаяконфигурация,порядок

использования,внешниеСрЗИ

Унификац

ияп

одходов

Автоматизация

методовко

нтроля

Безопасность – процесс, а не продукт

39

УправлениеИБ

Подготовка,планирование Проектирование

Вводвдействие,модернизация

Постояннаяэксплуатация

Аудит

Консалтинг

Моделирование,подборрешений Разработка

архитектуры

Разработкапроектнойдокументации

Обучение

РазработкапакетаОРД

Инсталляция

Оценкасоответствия

Сопровождение

Техническоеобслуживание

Спасибо за внимание!

Алексей Комаров

http://ZLONOV.ru @zlonov

Компания УЦСБТел.: +7 (343) 379-98-34

E-mail: info@ussc.ru www.USSC.ru