Информационная безопасность технологических систем. Решения компании InfoWatch
Содержание
Подход InfoWatch к обеспечению информационной безопасности АСУ ТП
Уровневая модель АСУ ТП
От чего и что защищаем?
Почему нужна защита?
Как защищать?
Комплексный подход
Комплексный подход
Отраслевая специфика предприятий ТЭК
Контуры безопасности ТЭК
Атака на уровень некритичного контура
Атака на уровень подконтрольного контура
Атака на уровень сверхкритичного контура
Статистика по вендорам
Нормативная документация
Портреты нарушителей
Ключевые возможности
Врезка не пройдёт
Архитектура решения
Внутренние механизмы защиты решения
Примеры
Основные производственные этапы ТЭК. Добыча.
Движение топлива после НПЗ. Опт.
Типовая схема налива топлива
Розница. АЗК.
Аудит ИБ. Решения от InfoWatch
Процесс внедрения
Комплексное решение для обеспечения информационной безопасности АСУ ТП InfoWatch ASAP
Состав системы
Фокус защиты ASAP
Функциональные блоки защиты
Взаимодействие модулей в рамках единого ядра
Схема работы решения
InfoWatch ASAP
Функциональные возможности
Приказ №31 ФСТЭК России
5.40M
Categories: managementmanagement softwaresoftware
Similar presentations:
Информационная безопасность предприятия
Информационная безопасность предприятия
Построение системы информационной безопасности многофилиального банка
Построение системы информационной безопасности многофилиального банка
Информационная безопасность. Программно-аппаратные средства. (Лекция 4)
Информационная безопасность. Программно-аппаратные средства. (Лекция 4)
Нейтрализация инсайдерских угроз функционированию программных компонентов на основе двухконтурной архитектуры безопасности
Нейтрализация инсайдерских угроз функционированию программных компонентов на основе двухконтурной архитектуры безопасности
Название компании. Слоган компании
Название компании. Слоган компании
Администрирование информационных систем. Группы безопасности. Управление пользователями
Администрирование информационных систем. Группы безопасности. Управление пользователями
Решения Watcom. О компании
Решения Watcom. О компании
Безопасность труда – приоритет Компании и Общества
Безопасность труда – приоритет Компании и Общества
Решения фирмы «1С» для финансового директора
Решения фирмы «1С» для финансового директора
Коммуникации в компании
Коммуникации в компании

Информационная безопасность технологических систем. Решения компании InfoWatch

1. Информационная безопасность технологических систем. Решения компании InfoWatch

Кибербезопасность АСУ
ТП ТЭК
Дмитрий Аносов
Менеджер по развитию
направления АСУ ТП

2. Содержание

• Подход к обеспечению
информационной безопасности
АСУ ТП
• Комплекс обеспечения
информационной безопасности
InfoWatch ASAP
Отраслевая специфика:
• Контуры безопасности ТЭК.
Возможности атак. Портрет
нарушителя
• Частный случай. Сбыт топлива. Система предотвращения
хищений

3. Подход InfoWatch к обеспечению информационной безопасности АСУ ТП

4. Уровневая модель АСУ ТП

MES/
ERP
Internet
TCP/IP
SCADA,H
MI
Уровень
диспетчеризации
TCP/IP, возможно с
пром. надстройками
(Modbus TCP, ProfNet,
МЭК-104…)
Уровень
управления
Srv
Каналы связи:
Медь, оптика, GSM,
спутник, PLC
Программируемые
контроллеры (ПЛК)
Шина RS-232/422/485 (Modbus RTU, Profibus
DP, МЭК -101…)
Полевой
уровень
Полевые устройства

5.

АСУ ТП с точки
зрения ИТ
НЕЗНАКОМО
ЗНАКОМО
• Распространенные
технологии
• Закрытая архитектура
• Протоколы стека IP
• Проприетарные
протоколы и ПО
Связность
Приоритеты ИБ в
«привычных» сетях:
• Конфиденциальность
• Целостность
• Доступность
Приоритеты ИБ в АСУ ТП:
• Доступность
• Целостность
• Конфиденциальность

6. От чего и что защищаем?

Объект защиты:
технологический процесс
И защищать нужно - от ЛЮБЫХ угроз
(информационного характера)

7. Почему нужна защита?

Кибератаки, направленные на АСУ ТП,
могут привести к максимально
возможному урону:
Человеческие жертвы
Техногенные катастрофы
Остановка производства
Только факты:
• Март 2015. Россия. Сбой в работе
зарубежных станков на ОПК Урала. Цех
остановился.
• Февраль 2015. США. Атака на датчики
контроля топлива на АЗС. Работа АЗС
парализована.
• 2010 г. Иран. StuxNet атаковал АЭС в
Бушере. Более 3 000 центрифуг
остановились.
• Список можно продолжать…
Тенденция к удвоению
количества инцидентов ИБ

8. Как защищать?

9. Комплексный подход

Комплексный подход к обеспечению
информационной безопасности системы – это:
Реализация всех уместных способов и связанных с
ними средств обеспечения информационной
безопасности

10. Комплексный подход

Способ воздействия
Решение InfoWatch
Препятствие
Управление
InfoWatch Automation
System Advanced
Protection (ASAP)
Маскировка
Регламентация
Аудит

11. Отраслевая специфика предприятий ТЭК

12. Контуры безопасности ТЭК

Сверхкритичный
Подконтрольный
Некритичный

13. Атака на уровень некритичного контура

Внешний нарушитель
Вирусное ПО
Врезка в канал передачи
данных на территории объекта
Атака на ПК, расположенные в
АБК
Остановка техпроцесса /
эвакуация объекта
Финансовые потери
Заражение СКУД и систем
тревожной сигнализации, атака на
СПО
Ухудшение репутации

14. Атака на уровень подконтрольного контура

Внутренний нарушитель
Внедрение в канал связи
Недокументированные
возможности
оборудования и ПО
Подлог данных, сбой
системы автоматизации,
контроль техпроцесса
Перехват управления
SCADA и вывод АСУ
ТП из строя:
Финансовые потери
Ухудшение репутации

15. Атака на уровень сверхкритичного контура

Неопытный сотрудник
Неверные управляющие
действия персонала
Нарушение техпроцесса,
потеря контроля над
ситуацией
Техногенная
катастрофа:
Финансовые потери
Ухудшение репутации

16. Статистика по вендорам

Преобладание иностранных
производителей!
По данным компании Positive Technologies

17. Нормативная документация

• Приказ №31 ФСТЭК от 14.03.2014
• Классификация критических объектов
• Требования к обеспечению информационной
безопасности АСУ ТП
• ФЗ № 118 «Обеспечение безопастности объектов ТЭК»
• Проект ФЗ «»......
• Внутрикорпоративные стандарты и нормативные
документы
По данным компании Positive Technologies

18. Портреты нарушителей

Внешние
Злоумышленник
• Технически
подкованный
специалист способен
произвести
удаленное
вредоносное
воздействие
ОПГ
• Группа лиц,
имеющих
технические
средства и знания
представляет
высокую опасность
Внутренние
Злонамереный инсайдер
Подкуп сотрудника
организации опасен
утечкой информации и
повышением
таргетированности
атаки
Неопытный лаборант
Человеческий фактор
ведет к ошибкам и
нарушениям
технологического
процесса

19. Ключевые возможности

• Интеллектуальная система выявления аномалий
• Контроль правильности выполнения технологического
процесса
• Обнаружение скрытых врезок и посторонних устройств
на основе анализа электрических параметров сигнала
• Контроль подлинности передаваемых данных
• Инструментарий визуализации полученных данных и
выявленных аномалий

20. Врезка не пройдёт

21. Архитектура решения

Конструктор ПО для
АРМ СБ и
диспетчера
Программный
сервер аналитики
Устройства обеспечения
безопасности в каналах
передачи данных
АСУ ТП
Устройство
защиты САУ
Устройство
защиты
периметра

22. Внутренние механизмы защиты решения

• Аппаратно-программный модуль доверенной загрузки
• Датчик вскрытия устройств защиты
• Шифрование обмена данными с использованием SSL-
сертификатов
• Аппаратный watchdog-таймер
• Реализация механизма bypass в случае установки в
разрыв линии

23. Примеры

24. Основные производственные этапы ТЭК. Добыча.

• Станция сбора и подготовки нефти к транспортировке
• Головные и промежуточные перекачивающие станции
• Системы обеспечения процесса добычи и
транспортировки;
Типовые угрозы:
• Подмена данных об объемах сырья (хищение),
датчиков давления (поломка, разрыв)
• Вывод из строя систем обеспечения (например, подача
электроэнергии)

25. Движение топлива после НПЗ. Опт.

НПЗ
Локальное
хранилище
Рассмотрим более
подробно

26. Типовая схема налива топлива

Насос
Сервер АСУ
Локальный АРМ, ЧМИ
Системы налива
Датчик утечек
Контроллер
насоса
ПЛК
Датчик температуры
Датчик давления
Датчик расхода
Сетевой
концентратор
Датчик перелива
Удаленный АРМ
ПЛК
Привод
Задвижка
Контроль
положения
Вектора атаки
Для сокрытия фактов хищения нужно произвести воздействие на систему обнаружения утечек или
систему определения наполнения цистерн. В обоих случаях достаточно будет как изменения
уставок (смещение нуля показаний), так и изменения логики технологического процесса.
Организуем удаленный доступ к контроллеру автоматизации. Это возможно при подключении к
коммуникационным каналам технологической сети или при получении несанкционированного
доступа к АРМ оператора автоматизации.

27. Розница. АЗК.

Силовое
питание
ТРК
220 / 380 в
PUMPs
Блок
сенсоров
ASAP
PUMP
1
PUMP 2
PUMP ...n-2,n-1,n
Pump control
Power backup
Pump control
Блок
сенсоров
ASAP
Блок
сенсоров
ASAP
Power backup
Power backup
Pump control
Power
backup
Power
backup
RS232
Шкаф
СКС
PUMP interface
PUMP interface
Controller 1
Controller 2 (optional)
SD
Test
Power
backup
Power backup
Smart-UPS
1 4 0 0
UPS ТРК
AMERICAN POWERCONVERSION
Power backup
V
L
A
N
RS232
Power
backup
RS232 /
LAN
1
Система
сбора ASAP
Power
backup
SD
Test
Smart-UPS
RS232 /
LAN
(optional)
1 4 0 0
UPS шкафа СКС
AMERICAN POWERCONVERSION
Серверное
ПО ASAP
LAN Switch
RS232
RS232
TLG console
TLG
Controller
TLG
Коммуникации
питающей сети
здания АЗС
220в +10/-15 %
50Гц +/- 1Гц
Коммуникации
локальной
вычислительной
сети (ЛВС) АЗС
Tank 1
Tank 2
Tank n
Для сокрытия фактов
хищения нужно произвести
воздействие на систему
контроля розлива топлива
(смещение нуля показаний),
так и изменения логики
технологического процесса.
Например, путем подмены
контролирующей платы на
колонке.

28. Аудит ИБ. Решения от InfoWatch

Аудит ИБ.
Спасибо
за
внимание!
Решения от InfoWatch
InfoWatch
www.infowatch.ru
+7 495 22 900 22

29.

Аудит ИБ
Проектировение СЗИ для АСУ ТП начинается с изучения
защищаемой системы
• Объекты защиты по своему уникальны
• Каждая АСУ ТП по своему уникальна, у компонентов (ПЛК)
также свои особенности. Знать и предугадать заранее
нельзя
• Прежде, чем иметь дело с любой уникальной системой, ее
необходимо изучить
Аудит ИБ АСУ ТП – максимально эффективный способ
исследовать конкретную АСУ ТП с точки зрения
информационной безопасности

30.

Проектирование
решения
Основные принципы проектирования защиты АСУ ТП:
Решение должно быть комплексным и максимально стабильным
Решение от единого вендора – удобно внедрять, удобно поддерживать,
удобно управлять. Как следствие – снижение стоимости владения
Решение должно быть очень гибким, чтобы иметь возможность
подстраиваться под любые АСУ ТП и техпроцессы Заказчика, в том
числе и те, которые еще не защищены
НО ГЛАВНОЕ:
Решение никак не должно влиять на нормальное
функционирование АСУ ТП
Решение должно полностью обеспечивать защиту Объекта защиты

31. Процесс внедрения

Аудит
объекта
• Исследование системы автоматизации
• Выявление потенциальных уязвимостей
Подготовка
решения
• Оптимизация плат расширения
• Адаптация алгоритмов анализа
• Оптимизация ПО для АРМ СБ
Работа в
режиме
Ведомый
• Получение политик безопасности в
режиме самообучения
• Получение политик безопасности в
ручном режиме
Работа в
режиме
Ведущий
• Выявление нештатных ситуаций
• Генерация уведомлений и отчетов
• Доработка политик безопасности в
ручном режиме
Ввод в
эксплуатацию

32.

Направление
InfoWatch ASAP
Решения для ИБ АСУ ТП
Услуги
Аудит
(согласно
Приказу
ФСТЭК 31)
Комплексный
аудит ИБ
организации
Продукты
Разработка
стандартов ИБ
и нормативной
документации
АПК ASAP

33. Комплексное решение для обеспечения информационной безопасности АСУ ТП InfoWatch ASAP

34. Состав системы

Распределенные по объекту ASAP
Аппаратная база определяется исходя из: количества
контролируемых интерфейсов связи и их
распределенности по объекту, объема
обрабатываемой информации, стандартов
и протоколов передачи информации
ПО сервера обработки информации,
поступающей с ASAP
ПО сервера может быть установлено на
cуществующие средства вычислительной техники
объекта
ПО для службы безопасности
ПО является тонким клиентом для сервера и может
быть установлено на существующие ПК. ПО
позволяет формировать аналитические отчеты по
заданным параметрам в интересах заказчика.
Отчеты могут дополняться графической
визуализацией
* ASAP – средства обнаружения аномалий

35. Фокус защиты ASAP

MES/ERP
TCP/IP
Уровень
диспетчеризации
ASAP
SRV
SCADA,HMI
Srv
ПОД
ЗАЩИТОЙ
Targeted
Attack
Detector
ASAP УЗ
АРМ
ИБ
Уровень
управления
Программируемые
контроллеры (ПЛК)
ASAP УЗ
Полевой
уровень
ASAP УЗ
Полевые устройства
ПОД
ЗАЩИТОЙ
ASAP

36. Функциональные блоки защиты

Межсетевое
экранирование
Модуль
анализа и
графический
интерфейс
пользователя
Обнаружение и
предотвращен
ие вторжений
ASAP
Обеспечение
собственной
безопасности
Мониторинг
защищенности
Контроль
технологическ
ого процесса

37. Взаимодействие модулей в рамках единого ядра

Ядро содержит функционал бизнес-логики и
алгоритмов принятия решения
МЭ
GUI
СОВ
ASAP
МЗ
СИБ
КТП
Анализирует поведение системы в целом,
используя графы связи и систему анализа
изменений совокупности параметров системы –
поведенческий анализ
Количество параметров, их взаимосвязи и
изменение связей в системе быть изменено в
процессе работы системы специалистами

38. Схема работы решения

Получение
параметров всех
защищаемых
технологических
процессов
Глубокий анализ
трафика на
уровнях SCADAPLC и PLCполевой уровень
Действия по
согласованному
заранее
регламенту
Локализация места
возникновения
аномалии,
информирование
сотрудника ИБ
Сравнение с
характерным цифровым
отпечатком, поиск
аномалий с учетом
допустимых отклонений
В случае
обнаружения
аномалий –
срабатывает СОВ

39. InfoWatch ASAP

Реализует ВСЕ возможные способы, типы и средства
защиты технологических сетей, уместные и применимые
на нижних уровнях АСУ ТП
ASAP
Ключевые возможности:
• Не только мониторинг, но и возможность контроля
трафика, в т.ч. нижних уровней АСУ ТП
• Методы поведенческого анализа позволяют
эффективно защищать систему вне зависимости от
сложности моделей работы и их количества
• Возможность работы непосредственно с протоколами
уровня датчиков и исполнительных механизмов
• Возможность работы в качестве маршрутизатора

40. Функциональные возможности

ASAP обеспечивает:
Автоматизацию деятельности по
обеспечению информационной
безопасности АСУ ТП
Непрерывный мониторинг
событий ИБ, уменьшение времени
реакции на инциденты, облегчение
информационного взаимодействия,
автоматизация рутинных задач
Обнаружение угроз ИБ:
• В корпоративных сетях
• В технологических сетях (АСУ
ТП)
• В сетях связи
• В системах автоматического
управления (инженерных
системах)
• В технических средствах охраны
Обнаружение и предотвращение угроз ИБ, характерных для
уровня контроллеров и исполнительных устройств АСУ ТП
ASAP обеспечивает защиту АСУ ТП от ЛЮБЫХ атак, направленных на уровни
контроллеров и исполнительных устройств

41. Приказ №31 ФСТЭК России

InfoWatch ASAP соответствует:
• Руководящему Документу ФСТЭК России «Средства вычислительной
техники. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к
информации» (РД по СВТ) – класс 5
• Руководящему Документу ФСТЭК России «Средства вычислительной
техники. Межсетевые экраны. Защита от несанкционированного доступа
к информации. Показатели защищенности от несанкционированного
доступа к информации (РД по МЭ) – класс 3
• Методическому Документу ФСТЭК России «Профиль защиты систем
обнаружения вторжений уровня сети пятого класса защиты
ИТ.СОВ.С5.ПЗ» (РД по СОВ) – класс 5
• Руководящему Документу ФСТЭК России «Защита от
несанкционированного доступа к информации. Часть 1. Программное
обеспечение средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей» - (РД по НДВ) –
класс 3

42.

Спасибо за внимание!
InfoWatch
www.infowatch.ru
+7 495 22 900 22
Дмитрий Аносов
[email protected]
English     Русский Rules