Транспорт и безопасность АСУ ТП - cisco...5 Исторические...
TRANSCRIPT
Транспорт и безопасность АСУ ТП
Андрей РотачNetwave
Технологии и решения Cisco эксклюзивно ИТ специалистам МетинвестХолдинг
3
Сетевая интеграция
LAN, MAN, WANБезопасностьБеспроводные сетиУнифицированные коммуникации (голос, видео)Контакт-центрыДатацентрыСистемы управления
4
ИТ +/- АСУ ТП
5
Исторические аспекты АСУ ТП
Proprietary разработки
Полностью вертикальные решения
Каждая система уникальна
Специальные коммуникациимедь, оптика, microwave, dialup, serial, etc.
сотни различных протоколов
не быстрые сети - ~1200 baud и т.д.
длительный цикл работы - 15–20 лет
при разработке безопасность не была ключевым требованием
6
Логическая структура
7
Cell Zone
Manufacturing Zone
DemilitarizedZone(DMZ)
Separation between Control & Enterprise Networks
Interconnection between Cell Zones, Server Farms, and DMZ
Network Connection for PLCs, HMIs, I/Os, & Drives
EnterpriseNetwork
Архитектура Ethernet-to-the-Factory
8
Архитектуры уровня доступа
ЗвездаКольцо
Шина
9
CISCO IE 3000индустриальный коммутатор
10
Включает лучшее от Cisco
– Cisco IOSTM
– CatalystTM архитектуру и функциональность
– Командная строка и графический интерфейс
–Безопасная интеграция с корпоративной сетью
Разработан для промышленной автоматизации
– Защищенный–Безопасный–Прост в эксплуатации–Основан на индустриальных стандартах
11
Специальный функционал IE 3000
Feature DescriptionCommon Industrial Protocol (CIP)
Протокол уровня приложений, используемый в индустриальных сетях DeviceNet, ControlNet и EtherNet/IP.
Industrial Automation Smartport Templates
Optimized Smartport profiles for industrial automation devices.
PTP (IEEE 1588v2) Precision Time Protocol программный модуль для временной синхронизации (~ 1 микросекунда)
DHCP Persistence DHCP сервер назначает постоянный IP-адрес устройствуResilient Ethernet Protocol (REP)
Протокол, позволяющих создавать кольцевую топологию. До 50 узлов в сегменте, сходимость 50мс
CIP Time Sync Time Sync objects and attributes for IEEE 1588v2 PTP
Layer 3 Hardware SKU Layer IP Services images w/routing protocols – static, RIP, OSPF, EIGRP routes and PIM (Multicast), VRF Lite
PROFINET IO Обмен данными, аварийными и диагностическими сообщениями с контроллерами и устройствами ввода-вывода стандарта PROFINET
DLR Smartports Оптимизированные профили Smartport для подключаемых индустриальных устройств
CIP Enhancements CIP Enhancements to support DHCP port based allocation configurations and diagnostics through RSLogix.
12
• 4 или 8-ми портовый базовый модуль (10/100BaseT) 2 порта двойного назначения
– 10/100/1000BaseT или SFP –Взаимоисключающие
Бесшумный Работает в условиях
– t -40 ... 75– влажность 5...95%
• Клас защиты IP20 (частицы не более 12 мм)• Заменяемый compact-flash (IE SWAP DRIVE)•Электропитание:
– 24V/48V DC–Блок расширения для поддержки AC и расширенного диапазона DC
•Индустриальные SFP:– 100FX / 1000 SX / 100LX / 1000LX / 1000ZX
Базовый блок
13
• 8-ми портовый медный (10/100BaseT)
• 8-ми портовый оптический (100FX)
Опции расширения:– два 8-ми портовых 10/100BaseT модуля– один 8-ми портовый 100FX модуль– один 8-ми портовый 10/100BaseT и один 8-ми портовый 100FX модули
Размеры:– 97мм Ш x 147мм В x 112мм Г
Расширенные диапазоны:– 100-220 VAC– 90-300 VDC
Размеры:– 51мм Ш x 147мм В x 112мм Г
•Модуль электропитания
Модули расширения
14
16-портовый (медь)IE-3000-8TC + IE-3000-8TM=
12-портовый (4 медных, 8 оптических)IE-3000-4TC + IE-3000-8FM=
24-портовый (медный)IE-3000-8TC + 2 IE-3000-8TM=
8-портовый базовый модульIE-3000-8TC
$3,990
$4,385
Варианты конфигураций
15
Простота конфигурации
Традиционный способ – Интерфейс командной строки (CLI)
ИЛИ
Smartports – конфигурация профиля порта подключения промышленного устройства одним нажатием «мыши»
Конфигурация, преустановленные профили
16
IE-3010-24TC 24 10/100 медь, 2 dual GEIE-3010-16S-8PC 16 FE SFP, 8 10/100 медь PoE, 2 dual GE
SmartPortsflash swap driveRack-mountableбезвентиляторныеУсловия: -40 ... +60 C (тест до 16 часов +85C )REPIEEE 1588 precision timing protocol
Cisco IE 3010
Layer 28Gbps switching fabric
17
Безопасность сетии
безопасность АСУ ТП
18
"Тот, кто знает врага и знает себя,не окажется в опасности и в ста сражениях.
Тот, кто не знает врага, но знает себя, имеет равные шансы победить или проиграть.
Тот, кто не знает врага, и не знает себя,неизбежно будет разбит в каждом сражении".
Сунь Цзы, "Искусство войны"
19
Безопасность - это процессмногошаговый циклический процесс
20
АСУ ТП, отличия от Enterprise сети
Приоритеты: Доступность, Целостность, Конфиденциальность
Множество конечных устройств могут функционировать в экстремальных условиях
Необычные физические топологии уровня доступа
Множество специализированных систем/устройств, ограничения по развертыванию на них средств безопасности (AV)
Сетевые конфигурации достаточно статичны
Длительный жизненный цикл систем
Enterprise решения для защиты должны быть адаптированы Многоуровневая защита
Stuxnet
Обнаружен компанией ВирусБлокАда, июль 2010
Нацелен на SCADA WinCC от Siemens (высокая избирательность “жертв”)
Использует сертификаты Realtek, JMicron для “тихой” установки драйверов RootKit в целевую систему
Использует 4 - 0day уязвимости
Распространяется• USB, уязвимость Windows Explorer в LNK/PIF-файлах (CVE-2010-2568, MS10-046)• Print spooler exploit (MS10-061)• Siemens WinCC and PCS7 Scada password vulnerabiity (CVE-2010-2772)• RPC DCOM, Conficker (MS08-067)
Перепрограммирует логику работы PLC-контроллеров
Иран - 60тысИндонезия - 13тысИндия - 6тысСША - ~3 тысАвстралия - 2тысВеликобритания - 1тысМалайзия - 1тысПакистан - 1тыс
Stuxnet
Оценка одного из пораженных инженеров, занимавшегося "препарированием" червя, звучала примерно так: "После десяти лет ежедневных занятий обратной инженерной разработкой кодов, я еще никогда не
встречался ни с чем, что хотя бы близко было похоже на ЭТО".
23
Система управления информационной безопасностью
ISO27001
Безопасное управление информационными активамиПредставление о важности имеющейся информацииОценить какой риск несет потеря информацииИнструменты по защите (внедрение систем и правил эксплуатации)
24
Анализ требований к СУИБ
Аудит существующей системы безопасности (поиск несоответствий, анализ сетевой архитектуры, аудит уязвимостей)
Анализ информационных рисков/модель угроз (в т.ч. составление перечня видов ценной информации)
Оценка уровней возможного ущерба (по видам информации), оценка уровней критичности сетевых ресурсов
Корректировка требований к СУИБ по результатам аудита
Внедрение СУИБ (решений, систем, устранение уязвимостей, политик информационной безопасности)
План реагирования на инциденты, обеспечения непрерывности и восстановления систем
Внедрение систем мониторинга, аналитики и визуализации событий (территориально-распределенных)
Проверка (аудит) систем на уязвимости
Обучение персонала (не только ИТ)
Система управления информационной безопасностью
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID25
Site Business Planning and Logistics Network
BatchControl
DiscreteControl
SupervisoryControl
HybridControl
SupervisoryControl
Enterprise Network
Patch Mgmt
Web Services Operations
AV Server
Application Server
Email, Intranet, etcFirewall & IPS
ProductionControl
ProcessHistory
OptimizingControl
DomainController
ContinuousControl
Terminal Services
Historian Mirror
Level 5
Site Operations and Control
Area Supervisory
Control
Level 4
Basic Control
Process
Level 3
Level 2
Level 1
Level 0
ЗонаУправления
(ProcessControl
Network)
Сеть предприятия
Зона изоляции
Firewall & IPS
Router
Firewall& IDS
HMIHMI
Дизайн безопасной сети АСУ ТП
26
Необходимость в безопасности следующего поколения сегодняApplication Control – расширение сферы контроля запуска и изменений на конечной точке
• Минимизация риска появления вредоносного кода на конечной точке
Потребность в средствах операционной безопасности и соответствияIntegrity Monitor – мониторинг и оценивание целостности среды и конфигураций
• Обнаружение реального времени в гетерогенных средах
Потребность в методе контроля за изменениями для высокого уровня соответствия стандартам
Change Control – функционал предотвращения изменений • Инструмент обеспечения соответствия контроля целостности
McAfee solidcore
273
Предотвратить выполнение неавторизованных исполняемых файлов, DLL библиотек, Скриптов, Java кода, драйверов…
Предотвратить неавторизованные изменения программного кода, реестра конфигурации, логов, критических данных
Предотвращение того что не должно происходить
Уведомления
Устранение
Поиск
Отчетность
Оценивание
!
События изменений
Проверки образов и конфигураций
Знать что происходит
Експорт
Change control и application control
285
Защита данных
• Выборочное предотвращение изменений вне установленных политик. Протоколирование таких попыток изменений
• Предотвращение неавторизованного кода (исполняемые, скрипты java) от запуска. Уникальный подход нет требует использования белых списков
Предотвращение изменений
Динамическое создание белых
Защита памяти • Защита от атак на память, замещение функциональности HIPS
• Предотвращение критичных файлов данных от чтения и копирования, за исключением авторизованных приложений
Останавли-вать
• Согласование произошедших событий и тикетов исправлений. Автоматическое документирование функционирования системы change management
• Оценивание конфигураций на соответствие стандартам установленным отделом информационной безопасности
• Сравнение образов развернутых систем со стандартными образами и централизованная точка отчетности
Сравнение образов
Аудит изменений
Аудит конфигураций
Согласование изменений
Знать
• Постоянное слежение за изменениями в данных ИТ инфраструктуры; Видимость изменений через поиск, отчеты, уведомления, диаграммы
Ключевые возможности
297
Мониторинг целостности файлов в реальном времени
без сканирования и аудита ОСзахват имени процесса/пользователя/машины, типа и контента измененийминимальное влияние на производительность системы
McAfee Change control
30
?=
Что там у нас сегодня?• Сверка установленного ПО с «золотым образом»• Централизованное обнаружение систем которые требуют конфигурирования
Установлен
Установлен
Отклонения от
золотого образаЗолотой образ
Y
N
--------------------
----------------------------
Отчет сравнения файлов может быть экспортирован
Корпоративная консоль Solidcore
Золотой образ
Агенты установленные на целевые системы
?=Соответствие
Золотому образу
Аудит образов
Авторизация запуска кода Только авторизованный код может быть запущен Каждый запуск кода контролируется проверкой на основе инвентаря Покрытие всех типов исполняемых файлов: бинарные, скрипты
Защита авторизованного кода Авторизованный код защищен от изменений, удаления, подмены Возможность расширения защиты на любой тип файлов в том числе и конфигураций
Защита процессов Исполняемый код защищен от подмены, внедрения и изменений
Защита от чтения/записи и копирования Защита чувствительных данных от просмотра, изменений и копирования
31
Защита от вредоносного кода
Здоровья Вам и Вашим сетям !
Андрей РотачNetwave