Кибербезопасность АСУ ТП и технологических сетей связи Лопухов И.В. Бренд-менеджер компании ПРОСОФТ
Современные тенденции в развитии промышленных систем передачи данных Industrial Ethernet Промышленная безопасность Промышленная беспроводная связь Стандарт IE для технологической связи: АСУ ТП ССПТИ Метрология Безопасность производственного персонала Непрерывность производственных процессов Стандартизация процессов по ИБ Мобильный рабочий персонал Уменьшение кабельных соединений на производственных участках Беспроводные датчики (ISA a, WirelessHart) Применение Industrial Ethernet опережает все известные стандарты по передаче данных для промышленных систем автоматизации Интеграция корпоративных и технологических сетей
PLC HMI Cyber Security EAGLE Управление сетью 10Gb MACH4000 MS30 RS30 EAGLE Cyber Security BAT54-Rail Wireless LAN Отказоустойчивое кольцо HIPER-Ring 1Gb Camera Консоль оператора Server (Engineering, SCADA, Asset Management) Беспроводной доступ для сервисого персонала Корпоративная сеть Уровень управления Уровень контроля Управление Контроль Полевой Industrial HiVision Технологические сети связи (1)
Технологические сети связи (2) Portfolio промышленного ETHERNET EAGLE RS20 Redundanter HIPER-Ring 100Mb OCTOPUS SPIDER e2c 20 e2c 67 LioN LioN- Link LioNLDB BAT54-F SPS AC/AP Mobile Client IP67- Gateway Gateway LioN LDB SPSGateway LDB Полевой уровень Управление Контроль Полевой Cyber Security EAGLE Cyber Security EAGLE
Вчера Завтра Сегодня Совершенствование коммуникационной структуры подстации - Множественные медные соединения - Отсутствие резервирования - Множественные медные соединения - Появление резервирования каналов связи -Только оптические соединения -Полное резервирование каналов связи
Топология сети цифровой подстанции: стандарт МЭК Станционная шина Шина процессов Промышленный Firewall
ЦУС Видеонаблюдение и Контроль доступа Станционная шина Fast HIPER-Ring
Уязвимости современных промышленных коммуникационных структур Заражение через модем USB Drives Инфецированнй мобильный клиент Неверная конфигурация Возможные сценарии кибер-атак
Уроки Stuxnet 1. Через инфицированные USB-flash и внешние HDD 2. Через локальную сеть (диски и сетевые сервиcы с общим доступом) 3. Через инфицированные файлы проектов Siemens (WinCC и STEP 7) anatomy-computer-virus
EAGLE Tofino - промышленный Firewall Программно-аппаратная платформа для обеспечения сетевой безопасности уровня АСУ ТП на уровне L2 модели OSI Позволяет защищать сети в соответствии со стандартом IEC (Security for Industrial Automation and Control Systems) Создание безопасных зон внутри промышленной зоны Защита промышленного сегмента сети может осуществлять персонал АСУТП (не требует специальных знаний) Управление с помощью графических интерфейсов Анализ трафика большинства известных промышленных протоколов с целью инспекции контента ( функция DPI ) Расширенные функции сетевого экрана ( фильтрация промышленных протоколов) Аппаратная платформа сертифицирована для работы на промышленных предприятиях, включая объекты электроэнергетики
EAGLE Tofino - компоненты платформы Tofino Central Management Platform (CMP) Централизованное управление Tofino Security Appliance Устройство для защиты сети Tofino Loadable Security Modules (LSM) Загружаемые модули реализующие, различные функции защиты
Tofino Central Management Platform (CMP): платформа управления Конфигурирование, управление и мониторинг всех устройств Tofino с одной рабочей станции Встроенный редактор Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых сетевых сегментов
Программируемые правила для контроллеров разных производителей Преконфигурированные правила для более чем 25 семейств промышленных контроллеров «Специальные» правила для обработки известных уязвимостей
Фильтрация промышленных протоколов Предопределенные шаблоны для более чем 50 промышленных коммуникационных протоколов Возможно добавление новых протоколов
Промышленная аппаратная платформа EAGLE20 Tofino TX/TX Untrusted port - TX, trusted port - TX EAGLE20 Tofino TX/MM Untrusted port - TX, trusted port - MM EAGLE20 Tofino MM/TX Untrusted port - MM, trusted port - TX EAGLE20 Tofino MM/MM Untrusted port - MM, trusted port – MM Эл.питание: VDC, VAC Тем.диапазон работы: -40 ºC ºC Защита от ЭМИ
Подгружаемые функциональные модули Загружаемые модули (LSM): Firewall Secure Asset Management Content Inspection (Deep Packet Inspection) VPN encryption Event Logger Модули LSM загружаются в EAGLE Tofino в зависимости от требований к функциям безопасности
Модуль Firewall – функции сетевого экрана Быстрое определение списка правил для сетевого трафика Автоматически блокируется (с созданием отчетов) любой трафик, не соответствующий заданным правилам Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI - глубокий анализ пакетов
IEC Стек протоколов 7 ПрикладнойMMS Телеизмерение (SV) GOOSESNTP 6 Представительский Гарантированная доставка (соединение) 5 Сеансовый 4 ТранспортныйTCP ISO UDP/TCP 3 СетевойIP 2 КанальныйEthernet 1 Физический Витая пара / Оптическое волокно
Модуль SAM : Secure Asset Management LSM Обнаружение сетевых устройств (без влияния на процессы в сети) Обнаружение новых устройств, сообщение в CMP и генерация тревожного оповещения (предупреждения) Хранение подробных списков сетевых устройств (inventory list) в соотвествии с ANSI/ISA-99 и NERC Assisted Rule Generation wizard помогает создавать новые правила FireWall для блокирования трафика
Модуль Modbus TCP Enforcer Инспекция содержимого ModBus пакетов Проверка «вменяемости» протокола и блокирование любого трафика не соответствующего стандарту ModBus Инженер АСУ ТП определяет список разрешенных команд и регистров ModBus Автоматическое блокирование и отчет о трафике, не соответствующему правилам
Модуль OPC Enforcer Инспекция содержимого OPC пакетов Автоматическое отслеживание TCP портов назначенных OPC-сервером для соединений Динамическое открывание портов в FireWall только когда они необходимы Проверка «вменяемости» протокола на соответствие стандартам DCE/RPC
EAGLE Tofino - модуль VPN Создание защищенных туннелей между: устройствами Tofino, Tofino и PC, Tofino и устройствами третьих производителей Простая настройка Совместная работа с другими модулями (FireWall, ModBus Enforcer)
EAGLE Tofino - Layer 2 Bridging Возможность создания Ethernet моста через Internet с использованием отказоустойчивых протоколов ( RSTP,MRP)
EAGLE Tofino - модуль Event Logger Запись Log-сообщений на устройство Tofino Запись Log-сообщений на USB-Flash в Tofino Передача сообщений на Syslog-сервер Нет необходимости в CMP (Central Management Platform) при настроенной сети (т.е. выход из строя CMP не приводит к потери контроля над сетью и записью сообщений)
Демонстрация работы Eagle -Tofino Спасибо за внимание!