close

Вход

Забыли?

вход по аккаунту

?

Презентация

код для вставкиСкачать
Игорь Кораблев
Руководитель направления
защиты промышленных систем
ЗАО «ЛАНИТ»
Отдел информационной
безопасности ЛАНИТ
Широкая компетенция и высокая квалификация
32 сертификата высшего образца
47 сертификатов о повышении
квалификации в направлении ИБ
Статусы ЛАНИТ
Gold Partner
Premier Business Partner
Bronze Partner
Gold Partner
Gold Solution
Advisor
Power Solution Provider
Select Partner
Affiliate
Partner
Gold Certified
Partner
Enterprise Solution
Provider
Authorized Partner
Gold Preferred
Partner
Platinum Partner
Enterprise
Partner
Registered Partner
Authorised
Reseller
Gold Partner
Elite Data Center
Partner
Platinum
Partner
Gold Certified Partner, LAR,
Application Integration
Partner
TrueNorth Gold Solutions
Partner
Novell Silver Partner
Premier System Partner
Авторизованный
партнер
Информационная безопасность АСУТП
Промышленные катастрофы
Саяно-Шушенская ГЭС
Взрыв нефтяной платформы
Deepwater Horizon
Авария на АЭС Фукусима-1
Завод по переработке урана в
Натанзе (Иран)
Угроза жизни людей и
окружающей среде
Высокая степень автоматизации
технологических процессов
Уровни технологической сети
ERP
Корпоративные системы
MES
Управление производством
SCADA
PLC
Devices
HMI, Industrial DB, OPC-сервер,
АРМ инженера
PLC, MTU/RTU
Исполнительные
устройства, датчики
Реалии АСУТП
Закрытые разработки
Обособленные решения под
задачу
Созданы по индивидуальному
проекту
Используют специализированное
оборудование и ПО
Рассчитаны на длительный срок
эксплуатации
Разрабатывались БЕЗ учета
требований по ИБ
Тенденции развития АСУТП
1. Распространение IP-технологий внутрь промышленной
2.
3.
4.
5.
сети
Интеграция корпоративных систем (ERP и MES) и АСУТП
Стандартизация и унификация решений по
автоматизации
Использование стандартных программных и аппаратных
платформ
Повышенный интерес специалистов к проблеме
безопасности технологических сетей
Технологическая сеть и корпоративная
сеть
Исчезновение
технологических и
архитектурных отличий
Стирание границы между
сетями
Централизация управления
Использование единой
системы каналов передачи
данных
Мифы о безопасности АСУТП
Технологическая сеть изолирована
Технологическая сеть построена на
специальных программноаппаратных средствах и не
подвержена стандартным угрозам
Резервирование и ПАЗ обеспечат
необходимый уровень
отказоустойчивости
Межсетевого экрана достаточно
Миф первый
Изолирование технологической сети
Ограниченные возможности по интеграции
Ложное чувство защищенности
Неверная оценка рисков ИБ
Проблемы обновления ПО
Возникновение скрытых каналов
Технологическая сеть беззащитна
Миф второй
Специальное оборудование и ПО
Проектировалось для идеальных условий
Безопасность через незнание
Нет запаса для реализаций функций ИБ
Ограниченные возможности интеграции средств
защиты
Технологическая сеть беззащитна
Миф третий
Противоаварийная защита
Борьба с последствиями
Защита от локальных сбоев
Опирается на данные, которые можно подделать
Нет централизованной корреляции данных
мониторинга всей технологической сети
Технологическая сеть беззащитна
Миф четвертый
Межсетевой экран
Устаревшая технология
Нет поддержки специализированных протоколов
Находится на пересечении зон ответственности
Статическая защита
Технологическая сеть беззащитна
Фактическое состояние
безопасности АСУТП
Множество каналов взаимодействия
между сетями и подсистемами
Каждый день обнаруживаются новые
уязвимости в специализированных
программных и аппаратных средствах
АСУТП
Не обеспечивается целостность логики
автоматики
Пакеты «внутри» разрешенного
протокола не контролируются
Обновления не устанавливаются
своевременно
Почему Вас не взломали?
На данный момент это никому не интересно.
На данный момент отсутствуют средства и
квалификация у злоумышленника
На данный момент для Вашего оборудования не
разработаны технологии атаки.
На данный момент Ваша технологическая сеть
«изолирована».
Ситуация может измениться в любой
момент
А может УЖЕ взломали?
Stuxnet успешно саботировал работу АЭС на
протяжении 2 лет
Основная задача злоумышленника – скрыть свое
присутствие
Подделываются учетные данные
Персонал – источник угрозы
Обладаете ли Вы достоверными
сведениями?
Немного примеров
Имитация технологической сети, подключенная к
Интернету была атакована спустя 18 часов (39 атак за
месяц)
Специализированное оборудование управления
самолетом может быть взломано при помощи iPhone
Исследования показывают огромное количество
технологический сетей подключенных к Интернет
Большинство сетей являются слабозащищенными
Эволюция вредоносного ПО
АРХИТЕКТУРА
УНИКАЛЬНЫЕ
РАЗРАБОТКИ
КОНСТРУКТОРЫ
ВИРУСОВ
РУТКИТЫ
МОДУЛЬНАЯ
АРХИТЕКТУРА
РАСПРОСТРАНЕНИЕ
НЕПРЕРЫВНОЕ
ОГРАНИЧЕННОЕ
УПРАВЛЯЕМОЕ
ЦЕЛЕВОЕ
ВРЕДОНОСНАЯ
НАГРУЗКА
УНИКАЛЬНАЯ
РАЗРАБОТКА
КОНСТРУКТОР
ЗАГРУЗКА ПО
ТРЕБОВАНИЮ
ДИНАМИЧЕСКАЯ
УПРАВЛЕНИЕ
НЕУПРАВЛЯЕМЫЕ
ЦЕНТРАЛЬНОЕ
PEER-TO-PEER
РАСПРЕДЕЛЕННОЕ
РОЛЕВОЕ
Видение ЛАНИТ
FW
АСУТП
Контроллеры и
автоматика
Устройства и датчики
IPS
VMS
AV
NBA
SIEM
Управление
производством
Анализ и интеграция
Корпоративная сеть
Применение мер защиты
Большинство стандартных методов защиты не могут
применяться в АСУТП
Требуется адаптация и/или дополнение
Изменение области применения
Замена компенсирующими мерами
Дополнение усиливающими мерами
Внедрение средств невозможно без
предварительного анализа
Средства защиты в АСУТП
ERP
Корпоративные системы
MES
Управление производством
SCADA
PLC
Devices
HMI, Industrial DB, OPC-сервер,
АРМ инженера
PLC, MTU/RTU
Исполнительные
устройства, датчики
Средства защиты в АСУТП
ERP
MES
SCADA
PLC
•
•
Firewall
Intrusion prevention
•
•
Endpoint Protection
Anti-virus
•
•
Application Firewall
Intrusion prevention
•
•
Compatible Endpoint Protection
Compatible Anti-virus
•
•
Industrial Firewall
Industrial Intrusion detection
•
•
SIEM
VMS
Требования к промышленным
техническим средствам защиты
1.
2.
3.
4.
5.
6.
7.
8.
9.
Поддержка промышленных протоколов
База сигнатур атак на промышленное
оборудование и ПО
Пассивный режим работы
Минимальный ущерб производительности и
пропускной способности
Централизованное/удаленное управление
Наработка на отказ 10-20 лет
Защита от агрессивных сред
Крепление din rail
Питание DC 12…24 V
Порядок проведения проектов
1. Пилотный проект – сканер уязвимости
2. Обоснование необходимости проведения аудита
3. Инвентаризация промышленной сети
4. Восстановление эксплуатационной документации
5. Анализ эффективности применения мер защиты
6. Моделирование конфликтов в процессах управления
7. Техническое задание на подсистему защиты
8. Поставка и внедрение средств защиты
Услуги
1. Создание центра управления ИТ-безопасностью
предприятия
2. Разработка и внедрение комплекса средств и
защиты технологической сети предприятия
3. Обеспечение ИТ-безопасности в рамках
проектов по модернизации и/или созданию
объектов ИТ-инфраструктуры
Пилотные проекты
1. Внедрение системы поиска уязвимостей
программных и аппаратных средств
технологической сети
2. Внедрение систем обнаружения вторжений и атак на
элементы технологической сети
3. Внедрение средств межсетевого экранирования с
поддержкой приложений и протоколов АСУТП
Наши партнеры
СПАСИБО ЗА ВНИМАНИЕ!
ВОПРОСЫ?
Кораблев Игорь
Руководитель направления
защиты промышленных систем
Департамент сетевой интеграции
ЗАО «ЛАНИТ»
105066, г. Москва, ул. Доброслободская, д. 5, стр. 1
www.lanit.ru
E-mail: korablev@lanit.ru
Тел.: +7 (499) 576-5533 (доб. 7060)
Факс: +7 (495) 967-6673
Stuxnet
Июль 2010, Иран
Бушерская АЭС
Завод по обогащению
урана в Натанзе
Компьютерный червь
Stuxnet
Заражает ОС Widows
Цель – промышленное ПО
и оборудование Siemens
Перепрограммирование
контроллеров (PLC)
Stuxnet
Активизируется только на
компьютерах с ПО WinCC/PCS 7
Использует уязвимость ПО
WinCC/PCS 7
Атакует только контроллеры, к
которым подключены приводы
переменной частоты
Заменяет микропрограмму
контроллера
Изменяет частоту вращения
привода в широком диапазоне
Stuxnet
Stuxnet
Скрывает свое присутствие в системе
Stuxnet
Вирус вышел
за пределы
цели
Поражены
промышленны
е сети многих
предприятий
Duqu и Flame. Дальнейшее
развитие.
Duqu
Сентябрь 2011 г.
Осуществляет сбор информации о промышленных системах
Не распространяется, целевое заражение. Ограниченное
распространение.
Встречается несколько версий – несколько атак/целей
Управляется централизованно при помощи сети серверов
Возможность загрузки дополнительных исполняемых модулей.
Ограниченный срок работы. Самоуничтожение.
Защита от обнаружения антивирусным ПО
Duqu и Flame. Дальнейшее
развитие.
Flame
Май, 2012
Шпионское вредоносное ПО, нацеленное на страны
ближнего востока
Гораздо сложнее Stuxnet
Модульная структура
Несколько алгоритмов шифрования
Использует СУБД SQLite для хранения
структурированной информации
Поддержка удаленной команды на самоуничтожение
Новые технологии маскировки процессов
Документ
Категория
Презентации
Просмотров
26
Размер файла
2 484 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа