Игорь Кораблев Руководитель направления защиты промышленных систем ЗАО «ЛАНИТ»

Отдел информационной безопасности ЛАНИТ 32 сертификата высшего образца Широкая компетенция и высокая квалификация 47 сертификатов о повышении квалификации в направлении ИБ

Статусы ЛАНИТ Gold Partner Elite Data Center Partner Gold Certified Partner Gold Solution Advisor Affiliate Partner Gold Preferred Partner TrueNorth Gold Solutions Partner Premier Business Partner Gold Certified Partner, LAR, Application Integration Partner Novell Silver Partner Premier System Partner Platinum Partner Enterprise Solution Provider Enterprise Partner Authorised Reseller Platinum Partner Bronze Partner Authorized Partner Registered Partner Power Solution Provider Select Partner Gold Partner Авторизованный партнер Gold Partner

Информационная безопасность АСУТП Промышленные катастрофы Саяно-Шушенская ГЭС Взрыв нефтяной платформы Deepwater Horizon Авария на АЭС Фукусима-1 Завод по переработке урана в Натанзе (Иран) Угроза жизни людей и окружающей среде Высокая степень автоматизации технологических процессов

Уровни технологической сети ERP MES SCADA PLC Devices Корпоративные системы Управление производством HMI, Industrial DB, OPC-сервер, АРМ инженера PLC, MTU/RTU Исполнительные устройства, датчики

Реалии АСУТП Закрытые разработки Обособленные решения под задачу Созданы по индивидуальному проекту Используют специализированное оборудование и ПО Рассчитаны на длительный срок эксплуатации Разрабатывались БЕЗ учета требований по ИБ

Тенденции развития АСУТП 1. Распространение IP-технологий внутрь промышленной сети 2. Интеграция корпоративных систем (ERP и MES) и АСУТП 3. Стандартизация и унификация решений по автоматизации 4. Использование стандартных программных и аппаратных платформ 5. Повышенный интерес специалистов к проблеме безопасности технологических сетей

Технологическая сеть и корпоративная сеть Исчезновение технологических и архитектурных отличий Стирание границы между сетями Централизация управления Использование единой системы каналов передачи данных

Мифы о безопасности АСУТП Технологическая сеть изолирована Технологическая сеть построена на специальных программно- аппаратных средствах и не подвержена стандартным угрозам Резервирование и ПАЗ обеспечат необходимый уровень отказоустойчивости Межсетевого экрана достаточно

Миф первый Изолирование технологической сети Ограниченные возможности по интеграции Ложное чувство защищенности Неверная оценка рисков ИБ Проблемы обновления ПО Возникновение скрытых каналов Технологическая сеть беззащитна

Миф второй Специальное оборудование и ПО Проектировалось для идеальных условий Безопасность через незнание Нет запаса для реализаций функций ИБ Ограниченные возможности интеграции средств защиты Технологическая сеть беззащитна

Миф третий Противоаварийная защита Борьба с последствиями Защита от локальных сбоев Опирается на данные, которые можно подделать Нет централизованной корреляции данных мониторинга всей технологической сети Технологическая сеть беззащитна

Миф четвертый Межсетевой экран Устаревшая технология Нет поддержки специализированных протоколов Находится на пересечении зон ответственности Статическая защита Технологическая сеть беззащитна

Фактическое состояние безопасности АСУТП Множество каналов взаимодействия между сетями и подсистемами Каждый день обнаруживаются новые уязвимости в специализированных программных и аппаратных средствах АСУТП Не обеспечивается целостность логики автоматики Пакеты «внутри» разрешенного протокола не контролируются Обновления не устанавливаются своевременно

Почему Вас не взломали? На данный момент это никому не интересно. На данный момент отсутствуют средства и квалификация у злоумышленника На данный момент для Вашего оборудования не разработаны технологии атаки. На данный момент Ваша технологическая сеть «изолирована». Ситуация может измениться в любой момент

А может УЖЕ взломали? Stuxnet успешно саботировал работу АЭС на протяжении 2 лет Основная задача злоумышленника – скрыть свое присутствие Подделываются учетные данные Персонал – источник угрозы Обладаете ли Вы достоверными сведениями?

Немного примеров Имитация технологической сети, подключенная к Интернету была атакована спустя 18 часов (39 атак за месяц) Специализированное оборудование управления самолетом может быть взломано при помощи iPhone Исследования показывают огромное количество технологический сетей подключенных к Интернет Большинство сетей являются слабозащищенными

Эволюция вредоносного ПОАРХИТЕКТУРА УНИКАЛЬНЫЕ РАЗРАБОТКИ КОНСТРУКТОРЫ ВИРУСОВ РУТКИТЫ МОДУЛЬНАЯ АРХИТЕКТУРА РАСПРОСТРАНЕНИЕ НЕПРЕРЫВНОЕОГРАНИЧЕННОЕУПРАВЛЯЕМОЕЦЕЛЕВОЕ ВРЕДОНОСНАЯ НАГРУЗКА УНИКАЛЬНАЯ РАЗРАБОТКА КОНСТРУКТОР ЗАГРУЗКА ПО ТРЕБОВАНИЮ ДИНАМИЧЕСКАЯ УПРАВЛЕНИЕ НЕУПРАВЛЯЕМЫЕЦЕНТРАЛЬНОЕPEER-TO-PEER РАСПРЕДЕЛЕННОЕ РОЛЕВОЕ

Видение ЛАНИТ Корпоративная сеть Управление производством АСУТП Контроллеры и автоматика Устройства и датчики FW IPS VMS AV NBA SIEM Анализ и интеграция

Применение мер защиты Большинство стандартных методов защиты не могут применяться в АСУТП Требуется адаптация и/или дополнение Изменение области применения Замена компенсирующими мерами Дополнение усиливающими мерами Внедрение средств невозможно без предварительного анализа

Средства защиты в АСУТП ERP MES SCADA PLC Devices Корпоративные системы Управление производством HMI, Industrial DB, OPC-сервер, АРМ инженера PLC, MTU/RTU Исполнительные устройства, датчики

Средства защиты в АСУТП ERP MES SCADA PLC Firewall Intrusion prevention Firewall Intrusion prevention Industrial Firewall Industrial Intrusion detection Industrial Firewall Industrial Intrusion detection Endpoint Protection Anti-virus Endpoint Protection Anti-virus Application Firewall Intrusion prevention Application Firewall Intrusion prevention Compatible Endpoint Protection Compatible Anti-virus Compatible Endpoint Protection Compatible Anti-virus SIEM VMS SIEM VMS

Требования к промышленным техническим средствам защиты 1.Поддержка промышленных протоколов 2.База сигнатур атак на промышленное оборудование и ПО 3.Пассивный режим работы 4.Минимальный ущерб производительности и пропускной способности 5.Централизованное/удаленное управление 6.Наработка на отказ лет 7.Защита от агрессивных сред 8.Крепление din rail 9.Питание DC 12…24 V

Порядок проведения проектов 1. Пилотный проект – сканер уязвимости 2. Обоснование необходимости проведения аудита 3. Инвентаризация промышленной сети 4. Восстановление эксплуатационной документации 5. Анализ эффективности применения мер защиты 6. Моделирование конфликтов в процессах управления 7. Техническое задание на подсистему защиты 8. Поставка и внедрение средств защиты

Услуги 1. Создание центра управления ИТ-безопасностью предприятия 2. Разработка и внедрение комплекса средств и защиты технологической сети предприятия 3. Обеспечение ИТ-безопасности в рамках проектов по модернизации и/или созданию объектов ИТ-инфраструктуры

Пилотные проекты 1. Внедрение системы поиска уязвимостей программных и аппаратных средств технологической сети 2. Внедрение систем обнаружения вторжений и атак на элементы технологической сети 3. Внедрение средств межсетевого экранирования с поддержкой приложений и протоколов АСУТП

Наши партнеры

СПАСИБО ЗА ВНИМАНИЕ! Кораблев Игорь Руководитель направления защиты промышленных систем Тел.: +7 (499) (доб. 7060) Факс: +7 (495) Департамент сетевой интеграции ЗАО «ЛАНИТ» , г. Москва, ул. Доброслободская, д. 5, стр. 1 ВОПРОСЫ?

Stuxnet Июль 2010, Иран Бушерская АЭС Завод по обогащению урана в Натанзе Компьютерный червь Stuxnet Заражает ОС Widows Цель – промышленное ПО и оборудование Siemens Перепрограммирование контроллеров (PLC)

Stuxnet Активизируется только на компьютерах с ПО WinCC/PCS 7 Использует уязвимость ПО WinCC/PCS 7 Атакует только контроллеры, к которым подключены приводы переменной частоты Заменяет микропрограмму контроллера Изменяет частоту вращения привода в широком диапазоне

Stuxnet

Скрывает свое присутствие в системе

Stuxnet Вирус вышел за пределы цели Поражены промышленны е сети многих предприятий

Duqu и Flame. Дальнейшее развитие. Duqu Сентябрь 2011 г. Осуществляет сбор информации о промышленных системах Не распространяется, целевое заражение. Ограниченное распространение. Встречается несколько версий – несколько атак/целей Управляется централизованно при помощи сети серверов Возможность загрузки дополнительных исполняемых модулей. Ограниченный срок работы. Самоуничтожение. Защита от обнаружения антивирусным ПО

Duqu и Flame. Дальнейшее развитие. Flame Май, 2012 Шпионское вредоносное ПО, нацеленное на страны ближнего востока Гораздо сложнее Stuxnet Модульная структура Несколько алгоритмов шифрования Использует СУБД SQLite для хранения структурированной информации Поддержка удаленной команды на самоуничтожение Новые технологии маскировки процессов