3. Первый. Сертифицированный. datapk
Post on 22-Jan-2018
196 Views
Preview:
TRANSCRIPT
02.06.17
Первый.Сертифицированный.DATAPK
НиколайДомуховскийДиректор
ДепартаментасистемнойинтеграцииООО«УЦСБ»
Как выглядит атака на АСУ ТП?
Реализация«классической»
угрозыИБ
ВнесениеизмененийвработуАСУТП
НекорректнаяреализацияТП
ИБ
ПБ
Объектатаки:• АРМ,серверы,АСО• ОбщееПО
Цельатаки:• Закрепитьсявзащищаемом
периметре
Объектатаки:• ПЛК• СпециальноеПО
Цельатаки:• Получениевозможности
манипуляцииТП
Объектатаки:• ТОУ
Цельатаки:• НарушениереализацииТП• Порчаоборудования
-3-
Подготовка
Временной вектор атаки
Реализация Нанесениеущерба
Проактивная защита Активнаязащита Реактивнаязащита
Втрадиционныхсистемахвсе3стадиимогутпроходитьзасчитанныесекунды,вАСУТП– могутдлитьсягоды
-4-
Как можно защищаться?
Проактивная защита Активнаязащита Реактивнаязащита
Цельстратегии:� Недатьпроизойти
инцидентуСпособдостижения:� Блокировка
нежелательныхизмененийсостояниясистемы
Цельстратегии:� Выявитьатакувходе
реализацииСпособдостижения:� Анализ состояний
системысцельювыявленияподозрительныхизменений
Цельстратегии:� Минимизироватьущерб
отреализацииинцидента
Способдостижения:� Возврат системыв
целевоесостояние
-5-
Как реализует защиту DATAPK?
Смежнаясистема
Односторонний(псевдоодносторонний)каналсвязи
Непрерывныймониторинготклонений
Довереннаясистема• КонтрольцелостностиПОи
конфигурации(программнойиаппаратной)
• Контрольинформационныхпотоков• Отсутствиеинструментоввнесения
изменений(втомчисле,вконфигурации)
-6-
Функциональная структура ПАК DATAPK
Каталогобъектовзащиты
Модульсбора ианализасобытийИБ
КаталогтребованийпоИБ
МодульуправленияконфигурациейОЗ
Модульоценкисоответствия
ипоискауязвимостей
Каталогуязвимостей
ЖурналсобытийИБ
МодульобеспеченияИБ
-8-
Режимы функционирования ПАК DATAPK
Модуль ФункцияПассивныймониторинг
Активныймониторинг
Сканированиезащищенности
УправлениеконфигурациейОЗ
ОпределениетекущегосоставаОЗВыявлениеизмененийвсоставеОЗ
Сборконфигураций
Выявлениесетевыханомалий
СборианализсобытийИБ СборсобытийИБ
Оценкасоответствияипоискуязвимостей
ПроверкаОЗнаналичиеуязвимостей
ОценкаОЗнасоответствиетребованиям
Пассивныймониторинг: однонаправленноеполучениеинформации,анализсетевоготрафика,безвоздействиянакомпонентыАСУПТК
Активныймониторинг: взаимодействиескомпонентамиАСУПТК(запрос-ответ),сборконфигурацийисобытий
Сканированиезащищенности: выявлениеуязвимостейкомпонентовАСУПТК
-9-
Реализация замкнутой программной среды с использованием ПАК DATAPK
Безопаснаяконфигурация:• Управлениедоступом• РегистрациясобытийИБ• Идентификацияи
аутентификация
Активныймониторинг:• УправлениеконфигурациейСканированиезащищенности:• Контрольсоответствия
требованиямИБ• Поискуязвимостей
Пассивныймониторинг:• Выявлениеизменений
составаОЗ• Выявлениесетевых
аномалий• СборсобытийИБ
-10-
Сбор событий ИБ
АктивныйсборсобытийИБ: передача/сборсобытийпопротоколам,поддерживаемымобъектомзащитыПассивныйсборсобытийИБ: использованиеоднонаправленногопротоколапередачисобытийнанесуществующийсерверсборасобытий,сборсобытийнаосновеанализакопиитрафика
-11-
Каталог объектов защиты
� Объектызащитыотображаютсяввидезаданнойиерархии
� Каждомутипуобъектазащитысоответствуетпиктограмма,используемаядлявизуализацииОЗ
� ЦветомвыделяютсяОЗ,длякоторыхприсутствуютнеобработанныеоператоровуведомления
-12-
Каталог объектов защиты
� ИерархическаяструктураОЗопределяетсяпользователемDATAPK
� АтрибутыОЗиспользуютсядляотображенияидляпроизвольнойфильтрацииОЗ
-13-
Визуализация каталога ОЗ
� НакартеотображаютсяОЗиинформационныепотокимеждуними(логическиесвязи)
� Неодобренныеоператороминформационныепотокиподсвечиваютсякраснымцветом
-14-
Управление конфигурацией
� Конфигурацияразделяетсянапонятныеоператоруэлементы,длякаждогоизкоторыхформируютсясобственныеправилаотображенияиконтроля
� Длявыбранногоэлементаконфигурациинаглядноотображаютсявыявленныеизмененияотносительноэталона
-15-
Оценка ОЗ и анализ уязвимостей
Описаниеуязвимости/оценкисоответствиянаязыкеOVAL
ИнтерпретаторOVAL
Элементыконфигурации Правиласравнения
Сборщикиконфигурации Результатпроверки
-16-
Оценка ОЗ и анализ уязвимостей
Описаниеуязвимости/оценкисоответствиянаязыкеOVAL
ИнтерпретаторOVAL
Элементыконфигурации Правиласравнения
Сборщикиконфигурации Результатпроверки
-17-
Обеспечения ИБ ПАК DATAPK. Внутренняя архитектура
Web-браузер
Эмулятортерминала
Сторонниерешения
Web-серверКомандныйпроцессор
Слойосновнойлогикиприложения
Слойдоступа
Объектызащиты
Интеграциясостороннимиприложениями(атакжедругимиDATAPK)реализовананабазеRESTAPI– наиболеераспространенногоспособаинтеграциисовременныхприложений,позволяющегоорганизоватьсвязьсистемвтомчислебезучастияразработчиков
Разграничениедоступареализованонауровнеосновнойлогикиприложения,чтообеспечиваетконтрольдоступа,независимоотиспользуемогомеханизмадоступаСлойдоступареализуетограниченныйнабороперацийвзаимодействиясОЗ,чтонепозволяетиспользоватьDATAPKдлявредоносноговоздействиянаОЗдажевслучаеегокомпрометации
-18-
Достижения (о которых можно рассказывать)
на сегодня
• СовместныеиспытаниясразработчикамиАСУТП(Вега-ГАЗ,Emerson)
• Пилоты(холдинг«Евраз»,ПАО«Северсталь»)• СертификатФСТЭК
-19-
…иэтотольконачало
top related