Abstract image of a woman sitting on books and studying on a laptop

Нюансы проведения аудита ИБ АСУ ТП

Компания УЦСБ, profile picture
Компания УЦСБ

Документ обсудил нюансы проведения аудита информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП) и его значимость. Основное внимание уделено целям аудита, включающим оценку соответствия требованиям и выявление уязвимостей системы. Также рассмотрены ключевые принципы, этапы аудита и примеры инцидентов, подчеркивающие важность обеспечения безопасности в данном контексте.

Technology
1 of 64
Downloaded 38 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
Нюансы проведения аудита ИБ АСУ ТП Екатерина Рублева Руководитель направления Аналитического центра Уральский Центр Систем Безопасности Вебинар 28 июня 2017 года
Ø Что понимаем под аудитом ИБ? Ø Предпосылки для проведения аудита ИБ АСУ ТП Ø Порядок проведения аудита ИБ АСУ ТП Ø Практика проведения аудитов ИБ АСУ ТП и нюансы, которые стоит учитывать Ø Заключение О чем будем говорить?
Что понимаем под аудитом ИБ? • Каково содержание работ? • Кто проводит? • Какие цели? • Что включает область работ?
4 • Под аудитом ИБ понимается системный процесс получения объективных, качественных и количественных оценок текущего состояния ИБ организации в соответствии с определенными критериями и показателями на всех уровнях обеспечения ИБ Аудит ИБ • Управляемый, контролируемый, представимый в виде связанных групп операций • Определяемый своей целью Системный процесс • Административный (документы) • Организационный (процессы и процедуры) • Программно-технический Уровни обеспечения ИБ Для определения содержания аудита ИБ необходимо: Определить цель аудита ИБ Выбрать область аудита ИБ Детализировать состав этапов аудита ИБ Содержание работ
5 • Внутренний аудит • Внешний аудит • Комбинированный аудит Исполнители • Специалисты по обеспечению ИБ предприятия • Специалисты по эксплуатации оборудования связи, ИТ инфраструктуры, систем автоматизации • Представители разработчика (проектировщика) АСУ ТП Состав рабочей группы Кто проводит?
6 • Получить объективную и независимую оценку состояния ИБ • Оценить степень соответствия требованиям ИБ (внутренним, отраслевым, законодательным, международным) • Выявить уязвимости (слабые места) в системе обеспечения ИБ • Сформировать план создания (развития) системы обеспечения ИБ Типовые цели аудита ИБ • Определение реального уровня опасности • Входные данные для управления рисками • Оценка необходимости и целесообразности создания системы защиты • Повышение уровня доверия etc. Индивидуальные цели аудита ИБ (например) Какие цели?
7 • Получить объективную и независимую оценку состояния ИБ • Оценить степень соответствия требованиям ИБ (внутренним, отраслевым, законодательным, международным) • Выявить уязвимости (слабые места) в системе обеспечения ИБ • Сформировать план создания (развития) системы обеспечения ИБ Типовые цели аудита ИБ • Определение реального уровня опасности • Входные данные для управления рисками • Оценка необходимости и целесообразности создания системы защиты • Повышение уровня доверия etc. Индивидуальные цели аудита ИБ (например) Какие цели? Аудит всегда проводится на соответствие чему-то: • внутренний стандарт • законодательные требования • лучшие практики • здравый смысл
Принципы проведения аудита ИБ Ø Независимость Ø Полнота Ø Оценка на основе свидетельств Ø Достоверность свидетельств Ø Компетентность Ø Этичность 8
9 Что включает область работ? Подразделения: Головная компания Филиалы Производственные отделения Системы: Все Содержащие конфиденциальную информацию Критичные (SAP, АСУ ТП, …) Направления ИБ: Все или отдельные процессы обеспечения ИБ Организационные меры защиты Технические меры защиты Требования ИБ: Законодательные Отраслевые Внутренние Международные (best practices)
Стандарты аудитов ИБ АСУ ТП • Обязательно: • Приказ №31 ФСТЭК России • Отраслевые требования • Внутренние требования • Дополнительно: • Международные документы • Документы ФСТЭК России по КСИИ • Рекомендации разработчиков АСУ ТП 10
Предпосылки для проведения аудита ИБ АСУ ТП • АСУ ТП как объект защиты • Уязвимости компонентов АСУ ТП • Инциденты ИБ в АСУ ТП • Оценка текущего уровня защищённости • Требования законодательства
Жизненный цикл АСУ ТП: как хотелось бы 12 Зарождение Юность Расцвет Стабильность Создание АСУ 1 Создание АСУ 2 Создание АСУ 3 Эксплуатация АСУ 1 Вывод из эксплуатации АСУ 1 Эксплуатация АСУ 3 Реконструкция АСУ 3 Создание службы ИБ Организация
Создание службы ИБ Реконструкция АСУ 3 Жизненный цикл АСУ ТП: на практике 13 Зарождение Юность Расцвет Стабильность Создание АСУ 1 Создание АСУ 2 Создание АСУ 3 Эксплуатация АСУ 1 Вывод из эксплуатации АСУ 1 Эксплуатация АСУ 3 Организация
АСУ ТП как объект защиты «Верхний» уровень Средства вычислительной техники: • АРМ, серверы, периферия • Сетевое оборудование верхнего уровня, линии связи «Нижний» уровень Технические средства: • ПЛК • Сетевое оборудование нижнего уровня, линии связи «Полевой» уровень Технические средства: • ТОУ Программное обеспечение: • Общесистемное • Прикладное (базовое и специальное) Программное обеспечение: • Специальное Информация: Контрольно- измерительная Управляющая Сигнализирую щая 14
Уязвимость компонентов АСУ ТП 15 Общее количество уязвимостей, обнаруженных в компонентах АСУ ТП. Источник: Positive Technologies
Уязвимость компонентов АСУ ТП 16 Статистика обнаруженных уязвимостей в АСУ ТП, итоги 2016 года. Источник: Positive Technologies
Предпосылки угроз ИБ в АСУ ТП 1. Применение современных сетевых технологий 2. Применение незащищенных промышленных протоколов (MODBUS, PROFIBUS и т.д.) поверх традиционных сетевых (TCP/IP) OSI Протокол 7 Modbus 6 - 5 - 4 - 3 - 2 RTU, ASCII 1 RS-232, RS-485 OSI Протокол 7 Modbus 6 - 5 - 4 TCP 3 IP 2 Ethernet 1 17
Предпосылки угроз ИБ в АСУ ТП 18 3. Применение традиционных ИТ-решений 4. Исследования безопасности АСУ ТП 2010 StuxnetГода Уязвимости 2005-2010 20 Года Уязвимости 2011-2012 162
Актуальные угрозы ИБ АСУ ТП • Несанкционированное использование технологий удаленного доступа • Атаки через офисную (корпоративную) сеть передачи данных • Атаки на традиционные IT-компоненты, применяемые в АСУ ТП • (D)DoS атаки • Человеческие ошибки и злонамеренные действия персонала • Распространение вредоносного ПО с помощью съемных носителей информации и устройств, подключаемых к сети АСУ ТП • Перехват, искажение и передача информации, циркулирующей в сети АСУ ТП • Неавторизованный доступ к компонентам АСУ ТП • Атаки на сеть передачи данных АСУ ТП • Отказы оборудования, форс-мажор 19 Источник: Федеральное управление по информационной безопасности, Германия Industrial Control System Security – Top 10 Threats and Countermeasures
Подготовка Особенности: временной вектор атаки Реализация Нанесение ущерба Проактивная защита Активная защита Реактивная защита -20-
Подготовка Особенности: временной вектор атаки Реализация Нанесение ущерба Проактивная защита Активная защита Реактивная защита В традиционных системах все 3 стадии могут проходить за считанные секунды, в АСУ ТП – могут длиться годы -21-
В 2015 г. в России средний ущерб от инцидента ИБ увеличился с $3,6 млн до $5,3 млн (на 47% по сравнению с 2014 г. ).1 PricewaterhouseCoopers В тоже время ущерб от хакерских атак на системы интернет-банкинга в России упал в 3,7 раза до 2,6 млрд руб. по сравнению с 9,8 млрд руб. в 2014 году. Хакеры уходят в другие отрасли. Group-IB Кибератаки 2015 направлены на все сферы, особую распространенность получили т. н. разрушительные атаки (destructive attacks).2 2014 - серия эффективных DDoS-атак на ЦБ и МИД России, 2015 – в открытый доступ выложены сотни тысяч SMS- сообщений россиян, атак на промышленные предприятия. Александр Бодрик. CISA, эксперт ЦИБ В 2014 году 94% исследованных систем содержали уязвимости, позволяющие получить полный контроль над критически важными ресурсами. В 67% систем получение контроля возможно из сети Интернет. Для 44% возможно получение полного контроля над всей информационной инфраструктурой. Positive Technologies Санкции по Украине; Россия вступила в конфликт на Ближнем Востоке; конфликт с Турцией; блэкаут на Украине из-за кибератаки (СБУ обвинила Россию в причастности к инциденту). Стоит ожидать ответных хакерских атак. ИБ в АСУ ТП: общие вызовы 22
Резкое увеличение количества инцидентов ИБ в области АСУ ТП в мире • Апрель 2000. Перехват из сети Интернет управления сетью крупнейшего в мире газопровода ОАО «ГАЗПРОМ»1 • Март 2008. Внештатное аварийное выключение блока 2 ядерной станции «Hatch» (США) – обновление ПО. • Апрель 2009. Зафиксировано проникновение в электроэнергетическую сеть США и размещения в ней программных «закладок», направленных на внештатную остановку её функциональных элементов и нарушение корректной работы. • Апрель 2010 г. Специалистами энергетической компании LCRA, обслуживающей более 1 миллиона людей в штате Техас, зафиксировано свыше 4800 попыток получения доступа к их компьютерной системе. • Июль 2010 г. Вирусом Stuxnet заражены 43 операторских станции одной крупной госкомпания США. Через месяц была полностью потеряна информация всей ИС. • Ноябрь 2011 г. Взломана SCADA-система одной из американских ГЭС. Из строя выведен насос, который использовался для водоснабжения. • С 2010 года в 20 раз выросло число обнаруженных уязвимостей2. 1 – брифинг МВД РФ , и.о. начальника управления "Р" МВД полковник Константин Мачабели 2 - Безопасность промышленных систем в цифрах. Positive Techologies 2012 ИБ в АСУ ТП: предпосылки 23
Появление в свободном доступе инструментов эксплуатации уязвимостей • PLCScan, WinCC Harvester, S7 password offline bruteforce tool, etc. • 50% уязвимостей позволяют хакеру запустить выполнение кода. Для 35% уязвимостей есть эксплойты1. ФЗ РФ N 256 «О безопасности объектов ТЭК» • Статья 11. Обеспечение безопасности информационных систем объектов ТЭК В целях обеспечения безопасности объектов ТЭК, субъекты ТЭК создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем. Приказ № 31 ФСТЭК России • «Об утверждении требований к обеспечению защиты информации в АСУ ТП …» 1 – Безопасность промышленных систем в цифрах. Positive Techologies 2012 ИБ в АСУ ТП: предпосылки 24
В АСУ ТП происходят инциденты ИБ 25 Дата Страна Инцидент декабрь 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод, в результате которой предприятию был нанесён ущерб. июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы. февраль 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища. март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании. июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера сентябрь 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
Порядок проведения аудита ИБ АСУ ТП • Цели и задачи аудита ИБ АСУ ТП • Состав работ по аудиту ИБ АСУ ТП • Стадии и роли в ходе аудита ИБ АСУ ТП
Этапы аудита ИБ АСУ ТП Оформление результатов Анализ угроз ИБ Оценка соответствия требованиям ИБ Анализ защищенности Очное обследование Заочное обследование 27
Практика проведения аудитов ИБ АСУ ТП и нюансы, которые стоит учитывать • Важные нюансы при составлении ТЗ • Особенности некоторых этапов аудита ИБ АСУ ТП • Представление результатов 28
Важные нюансы при составлении ТЗ • Границы проведения аудита • Перечень АСУ ТП – задан/должен быть определён • Глубина аудита – инструментальный контроль? • Результаты аудита • Результаты аудита ИБ АСУ ТП – документ для руководства • Отчёт об обследовании АСУ ТП • Результаты оценки соответствия требованиям и анализа угроз и уязвимостей АСУ ТП • План защиты АСУ ТП • Квалификация участников • Наличие лицензий ФСТЭК/ФСБ • Опыт аналогичных работ • Наличие квалифицированного персонала и материально-технических ресурсов • Качество технической части предложения 29
Обследование 30 задачи Анализ документации кого опрашивать? проекта нет или утерян нельзя использовать стороннее ПО Оператор Имя: Иван Иванов Год рождения: 1975 Образование: среднее Инженер КИПиА Имя: Петр Иванов Год рождения: 1980 Образование: высшее • Технологический регламент • Инструкции персонала • Осмотр и документирование • Встроенные средства системного и прикладного ПО
Что взять с собой аудитору? 31
Возможные ограничения • Нет исходных данных • Проекты только на бумаге и устарели • Нужно искать оборудование АСУ ТП 32
Возможные ограничения (2) • Доверяй, но проверяй 33
Первые результаты Industrial != Commercial • Исполнительность на местах • Никакой самодеятельности • Жесткие вертикали • Высокое доверие к вендору • Оперативные изменения невозможны! 34
Инструментальный аудит задачи 1. Разработка Программы и выбор инструментов 2. Проникновение в защищаемый сегмент 3. Демонстрация атак • на стенде • в ходе ТО ... ... К вышестоящим и смежным системам Пульт управления Шкаф АРМ Шкаф серверный Серверное оборудование АРМ оператора АРМ оператора АРМ оператора АРМ оператора Принтер Операторная Аппаратная Цеховой ПЛК Шкаф САУиР КЦ Промплащадка КЦ ПЛК САУ ГПАПЛК САУ ГПА ПЛК Локальных САУ ... Блок-бокс Блок-бокс автоматики ГПА Блок-бокс автоматики ГПА ГПА ГПА Технологическое оборудование КЦ СегментПКУКЦСегментнижнегоуровня Сегментподключения вышестоящихисмежных сиситем Коммуникационный сервер Сетевое оборудование сети передачи данных ПКУ КЦ Сетевое оборудование промышленной сети передачи данных Контролируемая зона Условные обозначения: – технологическое оборудование – Запираемый шкаф (блок-бокс) – границы помещения – границы контролируемой зоны – пульт управления – Взаимодействие с технологическим оборудованием – Каналы связи, построенные по технологии Ethernet – Терминальная линия связи – Каналы связи технологической сети передачи данных (Ethernet или последовательные линии связи) Сервисный компьютер 35
Инструментальный аудит нужен! • Проверка данных обследования • Без него никто не поверит • Без него сам не разберешься • Дает переход от перечня недостатков к плану действий по их устранению 36
Инструментальный аудит Методы: • Анализ архитектуры • Анализ конфигураций • Инструментальное обследование • Анализ трафика и журналов событий Программа инструментального обследования: • Определение действий, необходимых для сбора данных, с указанием: • используемых программно-аппаратных средств: • специализированных сканеров • сборщиков конфигураций и данных • тестовых программ • перехватчиков сетевых пакетов • необходимого персонала • возможных сбоев и иных нештатных ситуаций • планового времени на реализацию • Уточнение состава собираемых данных • Закрепление обоюдной ответственности за сбои в работе 37
Пример элемента программы • Контрольное мероприятие 3 • Состав мероприятия • Получение информации о групповых политиках службы каталога Active Directory с помощью Microsoft Group Policy Management Console (http://www.microsoft.com/down...). • Объект проверки • Контроллер домена Active Directory. • Метод проверки • Осуществляется запуск консоли Microsoft Group Policy Management с рабочей станции Заказчика. В консоли выполняются следующие действия: • на вкладке Domains – Имя домена – Group Policy Objects правой клавишей мыши вызывается контекстное меню, выбирается пункт Back Up All (Архивировать все); • для каждого объекта групповой политики вызывается контекстное меню и выбирается пункт Save Report (Сохранить отчет). • Требования к объекту проверки • Трафик между рабочей станцией, с которой осуществляется сбор данных, и контроллером домена не должен фильтроваться. На рабочей станции Заказчика должны быть установлены следующие программные продукты: • Microsoft .NET Framework Version 2.0; • Group Policy Management Console. • Для проведения проверки необходима учетная запись пользователя домена, обладающего правом чтения объектов групповых политик. Проведение проверки не требует перерыва в работе сервера. • Время проверки • Получение информации о групповых политиках в Active Directory с помощью Microsoft Group Policy Management Console занимает около 20 минут. • Выходные данные • В ходе проведения проверки создается копия всех применяемых групповых политик службы каталога Active Directory. 38
Тестирование на проникновение 39 задачи 1. Разработка Программы и выбор инструментов 2. Проникновение в защищаемый сегмент 3. Демонстрация атак на стенде разработчика
Типовые уязвимости Уязвимости в ПО Неиспользуемое ПО Простые пароли Пароли по умолчанию Отсутствие базовых настроек безопасности «Дырки» в периметре АСУ ТП «Слабые» механизмы безопасности в АСУ ТП Несанкционированный доступ к АСУ ТП Повышение привилегий Произвольная корректировка хода технологического процесса Останов, потеря управления технологическим процессом 40
Доступ в АСУ ТП из корпоративной сети Удаленный доступ в АСУ ТП с АРМ наладчика 41
Отказ в обслуживании ПЛК 42 Зависание ПЛК вследствие некорректной обработки запросов на TCP-соединения 42
Отказ в обслуживании ПЛК 43 Уязвимость в реализации сетевого протокола FLEET (QNX) приводит к аварийной перезагрузке 43 43
Другие уязвимости 44
Моделирование угроз: с чем может столкнуться АСУ ТП? Халатность — Подключение внешних устройств (носители информации, модемы и пр.) — Подключение сторонних СВТ (свой ноутбук для игр) Хищение — Сырья, готовой продукции — Ресурса производственной линии (изготовление неучтенной продукции) Направленные атаки — Шпионаж — Саботаж 45
Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 46
Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 47
Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 48
Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 49
Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 50
Направленная атака на АСУ ТП 51 ИБ ПБ Объект атаки: • АРМ, серверы, сетевое оборудование верхнего уровня • Общее ПО Цель атаки: • Закрепиться в защищаемом периметре Объект атаки: • ПЛК, сетевое оборудование нижнего уровня • Специальное ПО Цель атаки: • Получение возможности манипуляции ТП Объект атаки: • ТОУ Цель атаки: • Нарушение реализации ТП • Порча оборудования Реализация «классической» угрозы ИБ Внесение изменений в работу АСУ ТП Некорректная реализация ТП
Хищение 52 Объект атаки: • ПЛК • Специальное ПО Цель атаки: • Получение возможности манипуляции ТП Объект атаки: • ТОУ Цель атаки: • Нарушение реализации ТП • Порча оборудования Внесение изменений в работу АСУ ТП Некорректный учет ресурсов
Оценка соответствия Документы по КСИИ Отнесение к КСИИ Определение уровня важности (1, 2, 3) Определение группы КСИИ Включение в реестр КСИИ Приказ №31 Определение уровня значимости информации (УЗ 1, УЗ 2, УЗ 3) Определение класса защищенности (К1, К2, К3) 53
Уровень значимости (УЗ) информации Соответствует степени возможного ущерба: • Возникновение ЧС (см. Постановление Правительства РФ № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера») • Иные негативные последствия в различных областях Декларация пром. безопасн. План действий по предупр. и ликв. ЧС 54
Анализ угроз ИБ АСУ ТП Документы по КСИИ 1. Процесс прописан в: • Базовой модели угроз • Методике определения актуальных угроз 2. Угроза признается актуальной на основании оценки: • Коэффициента опасности • Вероятности реализации Приказ №31 1. Документы, описывающие процесс не разработаны 2. Проект методики определения угроз ожидается в 2016г 3. В настоящее время применяются документы по КСИИ 55
Методика определения актуальных угроз для КСИИ • Универсальная • Подробная • Хорошо автоматизируется в Excel • ДСП • Универсальная • Есть не проработанные места Вопросы для определения нарушителя: • Берут ли сотрудники работу на дом? • Используется ли на объекте внешняя АТС? Определение вероятности угроз: Разработка моделей оценки вероятности длительный процесс => Вероятность угрозы НСД 1, если нет защитных мер Вероятность угрозы 0, если угрозы нет 56
Угрозы ИБ АСУ ТП BSI, Industrial Control System – Top 10 Threats ФСТЭК России (более 100 угроз для КСИИ) Несанкционированное использование технологий удаленного доступа • Несанкционированное получение доступа к средствам удаленного администрирования • Несанкционированный удаленный доступ к ПЛК Атаки через офисную (корпоративную) сеть • … Атаки на традиционные IT-компоненты • … (D)DoS атаки • … Человеческие ошибки и злонамеренные действия персонала • … Распространение вредоносного ПО с помощью съемных носителей и устройств, подкл. к сети • … Перехват, искажение и передача информации • … Неавторизованный доступ к компонентам • … Атаки на сеть передачи данных АСУ ТП • … Отказы оборудования, форс-мажор • … 57
Разработка рекомендаций Оперативные мероприятия • Настройка компонентов АСУ ТП (установка паролей, отключение неиспользуемых служб и портов и т.п.) • Регламентация фактически выполняемых мероприятий по обеспечению ИБ и закрепление ответственности Тактические мероприятия • Реализация периметральной защиты сети передачи данных АСУ ТП • Устранение уязвимостей в рамках сервисного сопровождения (установка обновлений безопасности, настройка встроенных механизмов защиты) • Контроль защищенности АСУ ТП (выявление уязвимостей, контроль выполнения мероприятий по обеспечению ИБ) Стратегические мероприятия • Адаптация СУИБ к АСУ ТП (формирование Стратегии обеспечения ИБ АСУ ТП, выстраивание процессов) • Обеспечение ИБ АСУ ТП на всех этапах жизненного цикла (реализация Системы защиты информации в АСУ ТП) 58
Выбор средств защиты АСУ ТП Специализированные решения • Иностранные • Отечественные Учет импортозамещения Решения от разработчиков АСУ ТП 59
Особенности применения технических мер защиты Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии Приказ ФСТЭК России от 14.03.2014 №31 КСПД 60
Результаты аудита ИБ АСУ ТП 1. Паспорта объектов защиты 2. Оценка соответствия требованиям 3. Независимая оценка уровня текущей защищенности 4. Получение рекомендаций по устранению обнаруженных недостатков 61
Другие результаты аудита ИБ АСУ ТП 1. «Генеральная уборка» - устранение уязвимостей и ошибок в ходе аудита 2. Повышение вовлеченности руководства в обеспечение ИБ 3. Обоснование создания/ модернизации системы обеспечения ИБ 62
• Предпосылки для проведения аудита: уязвимости, угрозы, инциденты, внутренние требования, законодательство, «что это?» • Составление ТЗ на проведение аудита – важный этап • Положительная практика проведения аудитов – она существует! • Результаты проведения аудитов могут быть наглядными и объективными • Компенсирующие меры не обязательно должны быть техническими • Комплесный подход к ИБ АСУ ТП – способ сохранения инвестиций Заключение
Спасибо за внимание! Компания УЦСБ Тел.: +7 (343) 379-98-34 E-mail: info@ussc.ru www.USSC.ru Екатерина Рублева Руководитель направления Аналитического центра Уральский Центр Систем Безопасности

More Related Content

PDF
Типовые уязвимости компонентов АСУ ТП
Компания УЦСБ
 
PDF
4. ePlat4m Security GRC
Компания УЦСБ
 
PDF
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
 
PDF
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
Компания УЦСБ
 
PDF
3. Первый. Сертифицированный. DATAPK
Компания УЦСБ
 
PDF
Подходы к выполнению требований Приказа №31 ФСТЭК России
Компания УЦСБ
 
PDF
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
Компания УЦСБ
 
PDF
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
Компания УЦСБ
 
Типовые уязвимости компонентов АСУ ТП
Компания УЦСБ
 
4. ePlat4m Security GRC
Компания УЦСБ
 
2. От аудита ИБ к защите АСУ ТП
Компания УЦСБ
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
Компания УЦСБ
 
3. Первый. Сертифицированный. DATAPK
Компания УЦСБ
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Компания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
Компания УЦСБ
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
Компания УЦСБ
 

What's hot (20)

PDF
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
Компания УЦСБ
 
PDF
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
Expolink
 
PPT
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
 
PDF
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Компания УЦСБ
 
PPT
Аудит СУИБ
Alexander Dorofeev
 
PDF
3. Типовые задачи и решения по ИБ
Компания УЦСБ
 
PDF
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
Компания УЦСБ
 
PDF
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...
Компания УЦСБ
 
PPTX
Разведка угроз промышленных предприятий
Anton Shipulin
 
PDF
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
 
PDF
пр Актуальность аутсорсинга ИБ в России 2015 12-10
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Security as a Service = JSOC
Solar Security
 
PDF
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
PDF
4.про soc от пм
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
UEBA – поведенческий анализ, а не то, что Вы подумали
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
2.про soc от solar security
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Актуальный ландшафт угроз ИБ 2015 08
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Построение системы анализа и мониторинга состояния информационной безопасност...
Компания УЦСБ
 
PDF
Обучение и сертификация специалистов ИБ АСУ ТП
Anton Shipulin
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
Компания УЦСБ
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
Expolink
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Компания УЦСБ
 
Аудит СУИБ
Alexander Dorofeev
 
3. Типовые задачи и решения по ИБ
Компания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
Компания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...
Компания УЦСБ
 
Разведка угроз промышленных предприятий
Anton Shipulin
 
пр 01.актуальный ландшафт угроз иб (jsoc нн) 2015 08-21
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Solar Security
 
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
4.про soc от пм
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
2.про soc от solar security
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальный ландшафт угроз ИБ 2015 08
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение системы анализа и мониторинга состояния информационной безопасност...
Компания УЦСБ
 
Обучение и сертификация специалистов ИБ АСУ ТП
Anton Shipulin
 
Ad

Similar to Нюансы проведения аудита ИБ АСУ ТП (20)

PPTX
Астерит. Практический подход к реализации проектов по защите информации.
Expolink
 
PDF
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
PDF
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
IBS
 
PPTX
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Expolink
 
PPTX
астерит код иб 25.09.2014
Expolink
 
PDF
Обзор текущей ситуации в области импортозамещения СЗИ
DialogueScience
 
PPTX
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Alexey Kachalin
 
PPTX
Угрозы ИБ - retail edition (2016)
Alexey Kachalin
 
PPTX
Cybersecurity in Central Asia
Internet Society
 
PDF
Кибербезопасность промышленного Интернета вещей
Aleksey Lukatskiy
 
PDF
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Aleksey Lukatskiy
 
PDF
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Kaspersky
 
PDF
Кибербезопасность Industrial IoT: мировые тенденции
Cisco Russia
 
PDF
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Андрей Прозоров (InfoWatch) - Тенденции в информационной безопасности
Expolink
 
PPTX
Андрей Прозоров (InfoWatch) - Тенденции в информационной безопасности
Expolink
 
PDF
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
 
PDF
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
PPS
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Expolink
 
PDF
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
Expolink
 
Астерит. Практический подход к реализации проектов по защите информации.
Expolink
 
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...
IBS
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Expolink
 
астерит код иб 25.09.2014
Expolink
 
Обзор текущей ситуации в области импортозамещения СЗИ
DialogueScience
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Alexey Kachalin
 
Угрозы ИБ - retail edition (2016)
Alexey Kachalin
 
Cybersecurity in Central Asia
Internet Society
 
Кибербезопасность промышленного Интернета вещей
Aleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Aleksey Lukatskiy
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Kaspersky
 
Кибербезопасность Industrial IoT: мировые тенденции
Cisco Russia
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Андрей Прозоров (InfoWatch) - Тенденции в информационной безопасности
Expolink
 
Андрей Прозоров (InfoWatch) - Тенденции в информационной безопасности
Expolink
 
Современные средства обеспечения кибербезопасности АСУ ТП
Alexander Dorofeev
 
ESET. Александр Зонов. "ESET. Просто. Удобно. Надежно"
Expolink
 
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Expolink
 
УЦСБ. Алексей Комаров. "Решения для ИБ АСУ ТП"
Expolink
 
Ad

More from Компания УЦСБ (20)

PDF
Практика классификации АСУ ТП по требованиям защиты информации
Компания УЦСБ
 
PDF
Проект Федерального закона о безопасности КИИ
Компания УЦСБ
 
PDF
4. Обнаружение необнаруживаемого
Компания УЦСБ
 
PDF
2. Приветственное слово - Газинформсервис
Компания УЦСБ
 
PDF
1. Приветственное слово - УЦСБ, РЦЗИ
Компания УЦСБ
 
PDF
Кибербезопасность КИИ в свете новой доктрины ИБ России
Компания УЦСБ
 
PDF
ИБ АСУ ТП NON-STOP. Второй сезон. Серия №7
Компания УЦСБ
 
PDF
Вебинар ИБ АСУ ТП NON-STOP. Серия №11
Компания УЦСБ
 
PDF
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Компания УЦСБ
 
PDF
Вебинар ИБ АСУ ТП NON-STOP_Серия №9
Компания УЦСБ
 
PDF
Последние новости о слиянии компаний. Обзор новинок с EMC World, Тимофей Григ...
Компания УЦСБ
 
PDF
Последние новости о слиянии компаний. Обзор новинок с EMC World, Тимофей Григ...
Компания УЦСБ
 
PDF
Обзор новой СХД EMC Unity. Планирование обновления с VNX\VNX2, Тимофей Григор...
Компания УЦСБ
 
PDF
Преимущества перехода к стратегии хранения на флэш, Фидан Мифтахов, УЦСБ
Компания УЦСБ
 
PDF
Решения Emerson для обеспечения кибербезопасности промышленных систем автомат...
Компания УЦСБ
 
PDF
Аудит информационной безопасности АСУ ТП
Компания УЦСБ
 
PDF
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Компания УЦСБ
 
PDF
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Компания УЦСБ
 
PDF
Система видеоконференцсвязи холдинга "Аэропорты регионов"
Компания УЦСБ
 
PDF
Решения Fortinet для обеспечения кибербезопасности промышленных систем автома...
Компания УЦСБ
 
Практика классификации АСУ ТП по требованиям защиты информации
Компания УЦСБ
 
Проект Федерального закона о безопасности КИИ
Компания УЦСБ
 
4. Обнаружение необнаруживаемого
Компания УЦСБ
 
2. Приветственное слово - Газинформсервис
Компания УЦСБ
 
1. Приветственное слово - УЦСБ, РЦЗИ
Компания УЦСБ
 
Кибербезопасность КИИ в свете новой доктрины ИБ России
Компания УЦСБ
 
ИБ АСУ ТП NON-STOP. Второй сезон. Серия №7
Компания УЦСБ
 
Вебинар ИБ АСУ ТП NON-STOP. Серия №11
Компания УЦСБ
 
Вебинар ИБ АСУ ТП NON-STOP_Серия №10
Компания УЦСБ
 
Вебинар ИБ АСУ ТП NON-STOP_Серия №9
Компания УЦСБ
 
Последние новости о слиянии компаний. Обзор новинок с EMC World, Тимофей Григ...
Компания УЦСБ
 
Последние новости о слиянии компаний. Обзор новинок с EMC World, Тимофей Григ...
Компания УЦСБ
 
Обзор новой СХД EMC Unity. Планирование обновления с VNX\VNX2, Тимофей Григор...
Компания УЦСБ
 
Преимущества перехода к стратегии хранения на флэш, Фидан Мифтахов, УЦСБ
Компания УЦСБ
 
Решения Emerson для обеспечения кибербезопасности промышленных систем автомат...
Компания УЦСБ
 
Аудит информационной безопасности АСУ ТП
Компания УЦСБ
 
Решения Cisco для обеспечения кибербезопасности промышленных систем автоматиз...
Компания УЦСБ
 
Решения InfoWatch для обеспечения кибербезопасности промышленных систем автом...
Компания УЦСБ
 
Система видеоконференцсвязи холдинга "Аэропорты регионов"
Компания УЦСБ
 
Решения Fortinet для обеспечения кибербезопасности промышленных систем автома...
Компания УЦСБ
 

Нюансы проведения аудита ИБ АСУ ТП

  • 1. Нюансы проведения аудита ИБ АСУ ТП Екатерина Рублева Руководитель направления Аналитического центра Уральский Центр Систем Безопасности Вебинар 28 июня 2017 года
  • 2. Ø Что понимаем под аудитом ИБ? Ø Предпосылки для проведения аудита ИБ АСУ ТП Ø Порядок проведения аудита ИБ АСУ ТП Ø Практика проведения аудитов ИБ АСУ ТП и нюансы, которые стоит учитывать Ø Заключение О чем будем говорить?
  • 3. Что понимаем под аудитом ИБ? • Каково содержание работ? • Кто проводит? • Какие цели? • Что включает область работ?
  • 4. 4 • Под аудитом ИБ понимается системный процесс получения объективных, качественных и количественных оценок текущего состояния ИБ организации в соответствии с определенными критериями и показателями на всех уровнях обеспечения ИБ Аудит ИБ • Управляемый, контролируемый, представимый в виде связанных групп операций • Определяемый своей целью Системный процесс • Административный (документы) • Организационный (процессы и процедуры) • Программно-технический Уровни обеспечения ИБ Для определения содержания аудита ИБ необходимо: Определить цель аудита ИБ Выбрать область аудита ИБ Детализировать состав этапов аудита ИБ Содержание работ
  • 5. 5 • Внутренний аудит • Внешний аудит • Комбинированный аудит Исполнители • Специалисты по обеспечению ИБ предприятия • Специалисты по эксплуатации оборудования связи, ИТ инфраструктуры, систем автоматизации • Представители разработчика (проектировщика) АСУ ТП Состав рабочей группы Кто проводит?
  • 6. 6 • Получить объективную и независимую оценку состояния ИБ • Оценить степень соответствия требованиям ИБ (внутренним, отраслевым, законодательным, международным) • Выявить уязвимости (слабые места) в системе обеспечения ИБ • Сформировать план создания (развития) системы обеспечения ИБ Типовые цели аудита ИБ • Определение реального уровня опасности • Входные данные для управления рисками • Оценка необходимости и целесообразности создания системы защиты • Повышение уровня доверия etc. Индивидуальные цели аудита ИБ (например) Какие цели?
  • 7. 7 • Получить объективную и независимую оценку состояния ИБ • Оценить степень соответствия требованиям ИБ (внутренним, отраслевым, законодательным, международным) • Выявить уязвимости (слабые места) в системе обеспечения ИБ • Сформировать план создания (развития) системы обеспечения ИБ Типовые цели аудита ИБ • Определение реального уровня опасности • Входные данные для управления рисками • Оценка необходимости и целесообразности создания системы защиты • Повышение уровня доверия etc. Индивидуальные цели аудита ИБ (например) Какие цели? Аудит всегда проводится на соответствие чему-то: • внутренний стандарт • законодательные требования • лучшие практики • здравый смысл
  • 8. Принципы проведения аудита ИБ Ø Независимость Ø Полнота Ø Оценка на основе свидетельств Ø Достоверность свидетельств Ø Компетентность Ø Этичность 8
  • 9. 9 Что включает область работ? Подразделения: Головная компания Филиалы Производственные отделения Системы: Все Содержащие конфиденциальную информацию Критичные (SAP, АСУ ТП, …) Направления ИБ: Все или отдельные процессы обеспечения ИБ Организационные меры защиты Технические меры защиты Требования ИБ: Законодательные Отраслевые Внутренние Международные (best practices)
  • 10. Стандарты аудитов ИБ АСУ ТП • Обязательно: • Приказ №31 ФСТЭК России • Отраслевые требования • Внутренние требования • Дополнительно: • Международные документы • Документы ФСТЭК России по КСИИ • Рекомендации разработчиков АСУ ТП 10
  • 11. Предпосылки для проведения аудита ИБ АСУ ТП • АСУ ТП как объект защиты • Уязвимости компонентов АСУ ТП • Инциденты ИБ в АСУ ТП • Оценка текущего уровня защищённости • Требования законодательства
  • 12. Жизненный цикл АСУ ТП: как хотелось бы 12 Зарождение Юность Расцвет Стабильность Создание АСУ 1 Создание АСУ 2 Создание АСУ 3 Эксплуатация АСУ 1 Вывод из эксплуатации АСУ 1 Эксплуатация АСУ 3 Реконструкция АСУ 3 Создание службы ИБ Организация
  • 13. Создание службы ИБ Реконструкция АСУ 3 Жизненный цикл АСУ ТП: на практике 13 Зарождение Юность Расцвет Стабильность Создание АСУ 1 Создание АСУ 2 Создание АСУ 3 Эксплуатация АСУ 1 Вывод из эксплуатации АСУ 1 Эксплуатация АСУ 3 Организация
  • 14. АСУ ТП как объект защиты «Верхний» уровень Средства вычислительной техники: • АРМ, серверы, периферия • Сетевое оборудование верхнего уровня, линии связи «Нижний» уровень Технические средства: • ПЛК • Сетевое оборудование нижнего уровня, линии связи «Полевой» уровень Технические средства: • ТОУ Программное обеспечение: • Общесистемное • Прикладное (базовое и специальное) Программное обеспечение: • Специальное Информация: Контрольно- измерительная Управляющая Сигнализирую щая 14
  • 15. Уязвимость компонентов АСУ ТП 15 Общее количество уязвимостей, обнаруженных в компонентах АСУ ТП. Источник: Positive Technologies
  • 16. Уязвимость компонентов АСУ ТП 16 Статистика обнаруженных уязвимостей в АСУ ТП, итоги 2016 года. Источник: Positive Technologies
  • 17. Предпосылки угроз ИБ в АСУ ТП 1. Применение современных сетевых технологий 2. Применение незащищенных промышленных протоколов (MODBUS, PROFIBUS и т.д.) поверх традиционных сетевых (TCP/IP) OSI Протокол 7 Modbus 6 - 5 - 4 - 3 - 2 RTU, ASCII 1 RS-232, RS-485 OSI Протокол 7 Modbus 6 - 5 - 4 TCP 3 IP 2 Ethernet 1 17
  • 18. Предпосылки угроз ИБ в АСУ ТП 18 3. Применение традиционных ИТ-решений 4. Исследования безопасности АСУ ТП 2010 StuxnetГода Уязвимости 2005-2010 20 Года Уязвимости 2011-2012 162
  • 19. Актуальные угрозы ИБ АСУ ТП • Несанкционированное использование технологий удаленного доступа • Атаки через офисную (корпоративную) сеть передачи данных • Атаки на традиционные IT-компоненты, применяемые в АСУ ТП • (D)DoS атаки • Человеческие ошибки и злонамеренные действия персонала • Распространение вредоносного ПО с помощью съемных носителей информации и устройств, подключаемых к сети АСУ ТП • Перехват, искажение и передача информации, циркулирующей в сети АСУ ТП • Неавторизованный доступ к компонентам АСУ ТП • Атаки на сеть передачи данных АСУ ТП • Отказы оборудования, форс-мажор 19 Источник: Федеральное управление по информационной безопасности, Германия Industrial Control System Security – Top 10 Threats and Countermeasures
  • 20. Подготовка Особенности: временной вектор атаки Реализация Нанесение ущерба Проактивная защита Активная защита Реактивная защита -20-
  • 21. Подготовка Особенности: временной вектор атаки Реализация Нанесение ущерба Проактивная защита Активная защита Реактивная защита В традиционных системах все 3 стадии могут проходить за считанные секунды, в АСУ ТП – могут длиться годы -21-
  • 22. В 2015 г. в России средний ущерб от инцидента ИБ увеличился с $3,6 млн до $5,3 млн (на 47% по сравнению с 2014 г. ).1 PricewaterhouseCoopers В тоже время ущерб от хакерских атак на системы интернет-банкинга в России упал в 3,7 раза до 2,6 млрд руб. по сравнению с 9,8 млрд руб. в 2014 году. Хакеры уходят в другие отрасли. Group-IB Кибератаки 2015 направлены на все сферы, особую распространенность получили т. н. разрушительные атаки (destructive attacks).2 2014 - серия эффективных DDoS-атак на ЦБ и МИД России, 2015 – в открытый доступ выложены сотни тысяч SMS- сообщений россиян, атак на промышленные предприятия. Александр Бодрик. CISA, эксперт ЦИБ В 2014 году 94% исследованных систем содержали уязвимости, позволяющие получить полный контроль над критически важными ресурсами. В 67% систем получение контроля возможно из сети Интернет. Для 44% возможно получение полного контроля над всей информационной инфраструктурой. Positive Technologies Санкции по Украине; Россия вступила в конфликт на Ближнем Востоке; конфликт с Турцией; блэкаут на Украине из-за кибератаки (СБУ обвинила Россию в причастности к инциденту). Стоит ожидать ответных хакерских атак. ИБ в АСУ ТП: общие вызовы 22
  • 23. Резкое увеличение количества инцидентов ИБ в области АСУ ТП в мире • Апрель 2000. Перехват из сети Интернет управления сетью крупнейшего в мире газопровода ОАО «ГАЗПРОМ»1 • Март 2008. Внештатное аварийное выключение блока 2 ядерной станции «Hatch» (США) – обновление ПО. • Апрель 2009. Зафиксировано проникновение в электроэнергетическую сеть США и размещения в ней программных «закладок», направленных на внештатную остановку её функциональных элементов и нарушение корректной работы. • Апрель 2010 г. Специалистами энергетической компании LCRA, обслуживающей более 1 миллиона людей в штате Техас, зафиксировано свыше 4800 попыток получения доступа к их компьютерной системе. • Июль 2010 г. Вирусом Stuxnet заражены 43 операторских станции одной крупной госкомпания США. Через месяц была полностью потеряна информация всей ИС. • Ноябрь 2011 г. Взломана SCADA-система одной из американских ГЭС. Из строя выведен насос, который использовался для водоснабжения. • С 2010 года в 20 раз выросло число обнаруженных уязвимостей2. 1 – брифинг МВД РФ , и.о. начальника управления "Р" МВД полковник Константин Мачабели 2 - Безопасность промышленных систем в цифрах. Positive Techologies 2012 ИБ в АСУ ТП: предпосылки 23
  • 24. Появление в свободном доступе инструментов эксплуатации уязвимостей • PLCScan, WinCC Harvester, S7 password offline bruteforce tool, etc. • 50% уязвимостей позволяют хакеру запустить выполнение кода. Для 35% уязвимостей есть эксплойты1. ФЗ РФ N 256 «О безопасности объектов ТЭК» • Статья 11. Обеспечение безопасности информационных систем объектов ТЭК В целях обеспечения безопасности объектов ТЭК, субъекты ТЭК создают на этих объектах системы защиты информации и информационно-телекоммуникационных сетей от неправомерных доступа, уничтожения, модифицирования, блокирования информации и иных неправомерных действий и обеспечивают функционирование таких систем. Приказ № 31 ФСТЭК России • «Об утверждении требований к обеспечению защиты информации в АСУ ТП …» 1 – Безопасность промышленных систем в цифрах. Positive Techologies 2012 ИБ в АСУ ТП: предпосылки 24
  • 25. В АСУ ТП происходят инциденты ИБ 25 Дата Страна Инцидент декабрь 2014 Германия Федеральное управление по информационной безопасности признало факт компьютерной атаки на сталелитейный завод, в результате которой предприятию был нанесён ущерб. июнь 2015 Польша Более десятка рейсов крупнейшей польской авиакомпании LOT отменены из-за хакерской атаки на IT-систему аэропорта Варшавы. февраль 2015 США Хакеры атаковали автозаправочную станцию, скомпрометировав подключенную к интернету систему управления насосными механизмами, контролирующими работу топливного хранилища. март 2015 Россия Специалисты уральских оборонных предприятий обнаружили необъяснимый сбой в иностранном оборудовании. июнь 2015 Польша Хакеры сорвали вылет 11 рейсов из Варшавы июль 2015 Германия Хакеры взломали компьютеры зенитных ракет бундесвера сентябрь 2015 США За последние 4 года на Минэнерго США было совершено 159 успешных кибератак
  • 26. Порядок проведения аудита ИБ АСУ ТП • Цели и задачи аудита ИБ АСУ ТП • Состав работ по аудиту ИБ АСУ ТП • Стадии и роли в ходе аудита ИБ АСУ ТП
  • 27. Этапы аудита ИБ АСУ ТП Оформление результатов Анализ угроз ИБ Оценка соответствия требованиям ИБ Анализ защищенности Очное обследование Заочное обследование 27
  • 28. Практика проведения аудитов ИБ АСУ ТП и нюансы, которые стоит учитывать • Важные нюансы при составлении ТЗ • Особенности некоторых этапов аудита ИБ АСУ ТП • Представление результатов 28
  • 29. Важные нюансы при составлении ТЗ • Границы проведения аудита • Перечень АСУ ТП – задан/должен быть определён • Глубина аудита – инструментальный контроль? • Результаты аудита • Результаты аудита ИБ АСУ ТП – документ для руководства • Отчёт об обследовании АСУ ТП • Результаты оценки соответствия требованиям и анализа угроз и уязвимостей АСУ ТП • План защиты АСУ ТП • Квалификация участников • Наличие лицензий ФСТЭК/ФСБ • Опыт аналогичных работ • Наличие квалифицированного персонала и материально-технических ресурсов • Качество технической части предложения 29
  • 30. Обследование 30 задачи Анализ документации кого опрашивать? проекта нет или утерян нельзя использовать стороннее ПО Оператор Имя: Иван Иванов Год рождения: 1975 Образование: среднее Инженер КИПиА Имя: Петр Иванов Год рождения: 1980 Образование: высшее • Технологический регламент • Инструкции персонала • Осмотр и документирование • Встроенные средства системного и прикладного ПО
  • 31. Что взять с собой аудитору? 31
  • 32. Возможные ограничения • Нет исходных данных • Проекты только на бумаге и устарели • Нужно искать оборудование АСУ ТП 32
  • 33. Возможные ограничения (2) • Доверяй, но проверяй 33
  • 34. Первые результаты Industrial != Commercial • Исполнительность на местах • Никакой самодеятельности • Жесткие вертикали • Высокое доверие к вендору • Оперативные изменения невозможны! 34
  • 35. Инструментальный аудит задачи 1. Разработка Программы и выбор инструментов 2. Проникновение в защищаемый сегмент 3. Демонстрация атак • на стенде • в ходе ТО ... ... К вышестоящим и смежным системам Пульт управления Шкаф АРМ Шкаф серверный Серверное оборудование АРМ оператора АРМ оператора АРМ оператора АРМ оператора Принтер Операторная Аппаратная Цеховой ПЛК Шкаф САУиР КЦ Промплащадка КЦ ПЛК САУ ГПАПЛК САУ ГПА ПЛК Локальных САУ ... Блок-бокс Блок-бокс автоматики ГПА Блок-бокс автоматики ГПА ГПА ГПА Технологическое оборудование КЦ СегментПКУКЦСегментнижнегоуровня Сегментподключения вышестоящихисмежных сиситем Коммуникационный сервер Сетевое оборудование сети передачи данных ПКУ КЦ Сетевое оборудование промышленной сети передачи данных Контролируемая зона Условные обозначения: – технологическое оборудование – Запираемый шкаф (блок-бокс) – границы помещения – границы контролируемой зоны – пульт управления – Взаимодействие с технологическим оборудованием – Каналы связи, построенные по технологии Ethernet – Терминальная линия связи – Каналы связи технологической сети передачи данных (Ethernet или последовательные линии связи) Сервисный компьютер 35
  • 36. Инструментальный аудит нужен! • Проверка данных обследования • Без него никто не поверит • Без него сам не разберешься • Дает переход от перечня недостатков к плану действий по их устранению 36
  • 37. Инструментальный аудит Методы: • Анализ архитектуры • Анализ конфигураций • Инструментальное обследование • Анализ трафика и журналов событий Программа инструментального обследования: • Определение действий, необходимых для сбора данных, с указанием: • используемых программно-аппаратных средств: • специализированных сканеров • сборщиков конфигураций и данных • тестовых программ • перехватчиков сетевых пакетов • необходимого персонала • возможных сбоев и иных нештатных ситуаций • планового времени на реализацию • Уточнение состава собираемых данных • Закрепление обоюдной ответственности за сбои в работе 37
  • 38. Пример элемента программы • Контрольное мероприятие 3 • Состав мероприятия • Получение информации о групповых политиках службы каталога Active Directory с помощью Microsoft Group Policy Management Console (http://www.microsoft.com/down...). • Объект проверки • Контроллер домена Active Directory. • Метод проверки • Осуществляется запуск консоли Microsoft Group Policy Management с рабочей станции Заказчика. В консоли выполняются следующие действия: • на вкладке Domains – Имя домена – Group Policy Objects правой клавишей мыши вызывается контекстное меню, выбирается пункт Back Up All (Архивировать все); • для каждого объекта групповой политики вызывается контекстное меню и выбирается пункт Save Report (Сохранить отчет). • Требования к объекту проверки • Трафик между рабочей станцией, с которой осуществляется сбор данных, и контроллером домена не должен фильтроваться. На рабочей станции Заказчика должны быть установлены следующие программные продукты: • Microsoft .NET Framework Version 2.0; • Group Policy Management Console. • Для проведения проверки необходима учетная запись пользователя домена, обладающего правом чтения объектов групповых политик. Проведение проверки не требует перерыва в работе сервера. • Время проверки • Получение информации о групповых политиках в Active Directory с помощью Microsoft Group Policy Management Console занимает около 20 минут. • Выходные данные • В ходе проведения проверки создается копия всех применяемых групповых политик службы каталога Active Directory. 38
  • 39. Тестирование на проникновение 39 задачи 1. Разработка Программы и выбор инструментов 2. Проникновение в защищаемый сегмент 3. Демонстрация атак на стенде разработчика
  • 40. Типовые уязвимости Уязвимости в ПО Неиспользуемое ПО Простые пароли Пароли по умолчанию Отсутствие базовых настроек безопасности «Дырки» в периметре АСУ ТП «Слабые» механизмы безопасности в АСУ ТП Несанкционированный доступ к АСУ ТП Повышение привилегий Произвольная корректировка хода технологического процесса Останов, потеря управления технологическим процессом 40
  • 41. Доступ в АСУ ТП из корпоративной сети Удаленный доступ в АСУ ТП с АРМ наладчика 41
  • 42. Отказ в обслуживании ПЛК 42 Зависание ПЛК вследствие некорректной обработки запросов на TCP-соединения 42
  • 43. Отказ в обслуживании ПЛК 43 Уязвимость в реализации сетевого протокола FLEET (QNX) приводит к аварийной перезагрузке 43 43
  • 45. Моделирование угроз: с чем может столкнуться АСУ ТП? Халатность — Подключение внешних устройств (носители информации, модемы и пр.) — Подключение сторонних СВТ (свой ноутбук для игр) Хищение — Сырья, готовой продукции — Ресурса производственной линии (изготовление неучтенной продукции) Направленные атаки — Шпионаж — Саботаж 45
  • 46. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 46
  • 47. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 47
  • 48. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 48
  • 49. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 49
  • 50. Наладчик решил быстренько почитать справку по SCADA в Интернете Оператор решил посмотреть фотографии с отпуска Халатность: что может случиться? Подключение съемного носителя Заражение вредоносным ПО Нарушение работы СВТ Блокирование доступа к СВТ/информации Подключение 3G-модема Атака на СВТ с целью включения в бот сеть Нарушение работы ЛВС 50
  • 51. Направленная атака на АСУ ТП 51 ИБ ПБ Объект атаки: • АРМ, серверы, сетевое оборудование верхнего уровня • Общее ПО Цель атаки: • Закрепиться в защищаемом периметре Объект атаки: • ПЛК, сетевое оборудование нижнего уровня • Специальное ПО Цель атаки: • Получение возможности манипуляции ТП Объект атаки: • ТОУ Цель атаки: • Нарушение реализации ТП • Порча оборудования Реализация «классической» угрозы ИБ Внесение изменений в работу АСУ ТП Некорректная реализация ТП
  • 52. Хищение 52 Объект атаки: • ПЛК • Специальное ПО Цель атаки: • Получение возможности манипуляции ТП Объект атаки: • ТОУ Цель атаки: • Нарушение реализации ТП • Порча оборудования Внесение изменений в работу АСУ ТП Некорректный учет ресурсов
  • 53. Оценка соответствия Документы по КСИИ Отнесение к КСИИ Определение уровня важности (1, 2, 3) Определение группы КСИИ Включение в реестр КСИИ Приказ №31 Определение уровня значимости информации (УЗ 1, УЗ 2, УЗ 3) Определение класса защищенности (К1, К2, К3) 53
  • 54. Уровень значимости (УЗ) информации Соответствует степени возможного ущерба: • Возникновение ЧС (см. Постановление Правительства РФ № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера») • Иные негативные последствия в различных областях Декларация пром. безопасн. План действий по предупр. и ликв. ЧС 54
  • 55. Анализ угроз ИБ АСУ ТП Документы по КСИИ 1. Процесс прописан в: • Базовой модели угроз • Методике определения актуальных угроз 2. Угроза признается актуальной на основании оценки: • Коэффициента опасности • Вероятности реализации Приказ №31 1. Документы, описывающие процесс не разработаны 2. Проект методики определения угроз ожидается в 2016г 3. В настоящее время применяются документы по КСИИ 55
  • 56. Методика определения актуальных угроз для КСИИ • Универсальная • Подробная • Хорошо автоматизируется в Excel • ДСП • Универсальная • Есть не проработанные места Вопросы для определения нарушителя: • Берут ли сотрудники работу на дом? • Используется ли на объекте внешняя АТС? Определение вероятности угроз: Разработка моделей оценки вероятности длительный процесс => Вероятность угрозы НСД 1, если нет защитных мер Вероятность угрозы 0, если угрозы нет 56
  • 57. Угрозы ИБ АСУ ТП BSI, Industrial Control System – Top 10 Threats ФСТЭК России (более 100 угроз для КСИИ) Несанкционированное использование технологий удаленного доступа • Несанкционированное получение доступа к средствам удаленного администрирования • Несанкционированный удаленный доступ к ПЛК Атаки через офисную (корпоративную) сеть • … Атаки на традиционные IT-компоненты • … (D)DoS атаки • … Человеческие ошибки и злонамеренные действия персонала • … Распространение вредоносного ПО с помощью съемных носителей и устройств, подкл. к сети • … Перехват, искажение и передача информации • … Неавторизованный доступ к компонентам • … Атаки на сеть передачи данных АСУ ТП • … Отказы оборудования, форс-мажор • … 57
  • 58. Разработка рекомендаций Оперативные мероприятия • Настройка компонентов АСУ ТП (установка паролей, отключение неиспользуемых служб и портов и т.п.) • Регламентация фактически выполняемых мероприятий по обеспечению ИБ и закрепление ответственности Тактические мероприятия • Реализация периметральной защиты сети передачи данных АСУ ТП • Устранение уязвимостей в рамках сервисного сопровождения (установка обновлений безопасности, настройка встроенных механизмов защиты) • Контроль защищенности АСУ ТП (выявление уязвимостей, контроль выполнения мероприятий по обеспечению ИБ) Стратегические мероприятия • Адаптация СУИБ к АСУ ТП (формирование Стратегии обеспечения ИБ АСУ ТП, выстраивание процессов) • Обеспечение ИБ АСУ ТП на всех этапах жизненного цикла (реализация Системы защиты информации в АСУ ТП) 58
  • 59. Выбор средств защиты АСУ ТП Специализированные решения • Иностранные • Отечественные Учет импортозамещения Решения от разработчиков АСУ ТП 59
  • 60. Особенности применения технических мер защиты Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности. В качестве средств защиты информации в первую очередь подлежат рассмотрению механизмы защиты (параметры настройки) штатного программного обеспечения автоматизированной системы управления при их наличии Приказ ФСТЭК России от 14.03.2014 №31 КСПД 60
  • 61. Результаты аудита ИБ АСУ ТП 1. Паспорта объектов защиты 2. Оценка соответствия требованиям 3. Независимая оценка уровня текущей защищенности 4. Получение рекомендаций по устранению обнаруженных недостатков 61
  • 62. Другие результаты аудита ИБ АСУ ТП 1. «Генеральная уборка» - устранение уязвимостей и ошибок в ходе аудита 2. Повышение вовлеченности руководства в обеспечение ИБ 3. Обоснование создания/ модернизации системы обеспечения ИБ 62
  • 63. • Предпосылки для проведения аудита: уязвимости, угрозы, инциденты, внутренние требования, законодательство, «что это?» • Составление ТЗ на проведение аудита – важный этап • Положительная практика проведения аудитов – она существует! • Результаты проведения аудитов могут быть наглядными и объективными • Компенсирующие меры не обязательно должны быть техническими • Комплесный подход к ИБ АСУ ТП – способ сохранения инвестиций Заключение
  • 64. Спасибо за внимание! Компания УЦСБ Тел.: +7 (343) 379-98-34 E-mail: info@ussc.ru www.USSC.ru Екатерина Рублева Руководитель направления Аналитического центра Уральский Центр Систем Безопасности