Post on 12-Nov-2014
description
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/110
Безопасность АСУ ТП: от слов к делу
Алексей Лукацкий
Бизнес-консультант по безопасности, Cisco
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2/110
Что такое АСУ ТП?
В России еще ГАС «Выборы», кадастры и все, что влияет на национальную безопасность
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3/110
Сначала я хотел говорить об угрозах и тенденциях в АСУ ТП
Потеря производительности
Штрафы
Судебные иски
Потеря общественного доверия
Потеря капитализации
Выход из строя оборудования
Нанесение ущерба окружающей среде
Ущерб здоровью
Человеческие жертвы
Взрыв газопровода СССР, 1982
Нефтепровод в Bellingham США, 1999
Очистные сооружения Австралия, 2001
АЭС Davis Besse США, 2003
Сеть электроэнергии США, 2003
АЭС Browns Ferry США, 2006
Обогатительные заводы в Иране, 2010
$$$.$$
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4/110
Отказ на Taum Sauk
Гидроаккумулирующая электростанция Taum Sauk
АСУ ТП зафиксировала некорректный уровень воды
Насосы продолжали работать
Дамба переполнилась и размылась
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5/110
Взрыв нефтяной цистерны в Бансфилде
Измерение уровня топлива «зависло»
Измерительная система показала аномалию
Закачка продолжалась
Цистерна переполнилась
Резервная система безопасности отказала
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6/110
Взрыв трубы в Вашингтоне
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7/110
Взрыв трубы в Вашингтоне
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8/110
Червь на атомной электростанции
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9/110
Взлом иных типов АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 10/110
Недавние события
Хакеры получили несанкционированный доступ к компьютерным системам водоочистных сооружений в Харрисбурге, шт. Пенсильвания, в начале октября 2006 года. Ноутбук сотрудника была взломан через Интернет, затем он использовался как точка входа для доступа к административным системам и установки вирусов, троянских и шпионских программ.
На конференции Federal Executive Leadership Conference в Вильямсбурге, штат Вирджиния, представитель спецслужбы подтвердил 200 представителям правительства и промышленности, что злоумышленники вторгались в системы нескольких организаций, составляющих национальную инфраструктуру, и требовали выкуп, угрожая отключить системы. Поставщики коммунальных услуг в США не подтверждали и не отрицали факты подобного шантажа.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11/110
Зарубежные покупки Китаем активов ТЭК и кибератаки на них
Framework for LNG deal with Russia
LNG deal with Uzbekistan
LNG deal with Australia
LNG deal with Australia
LNG deal with France
Finalization of South Pars Phase 11 with
Iran
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with Shell
LNG deal with Exxon
Shale gas deal with Chesapeake Energy in Texas
Aggressive bidding on multiple Iraqi oil fields at
auction Purchase of major stake in a second Kazakh oil company
China-Taiwan trade deal for petrochemicals
Purchase of Rumaila oil field, Iraq, at auction
McKay River and Dover oil sands deal with Athabasca, Canada
Development of Iran’s Masjed Soleyman oil
field Oil development deal with Afghanistan
Purchase of major stake in Kazakh oil company
2012 2011 2010 2009 2013 2008
Shady RAT ( U.S. natural
gas wholesaler)
Night Dragon
(Kazakhstan, Taiwan, Greece, U.S.)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 12/110
Насколько велики риски?
Сведения публикуются о менее чем 1% (0,25%) инцидентов
Возможен ущерб репутации и снижение котировок акций
Риск = вероятность угрозы X возможные последствия
Выбираемые цели характеризуются бóльшим ущербом, чем легкодоступные цели
79% Случайность
21% Саботаж
12% Случайность
4% Саботаж
8% Прочее
8% Взлом
68% ВПО
Источник: Eric Byres, BCIT
Ущерб < 100 000 долл. США Ущерб > 100 000 долл. США
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13/110
Потом я хотел говорить о цикле PDCA для АСУ ТП
В мае 2006 года в рамках Chemical Sector Cyber Security Program советом по ИТ химической индустрии (Chemical Information Technology Council, ChemITC) в рамках американского совета химической индустрии были предложены рекомендации по информационной безопасности в основу которых легли стандарты ISO\IEC 17799 и ISA-TR99
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14/110
Потом я хотел говорить о стандартах безопасности АСУ ТП
ISA SP99
NERC CIP
Guidance for Addressing Cyber Security in the Chemical Industry
NIST PCSRF Security Capabilities Profile for Industrial Control Systems
IEC 61784-4
Cisco SAFE for PCN
КСИИ ФСТЭК
Стандарты Газпрома
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15/110
И об этих
IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security»
IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security»
IEC 62351 «Data and Communication Security»
FERC Security Standards for Electric Market Participants (SSEMP)
American Petroleum Institute (API) 1164 «SCADA Security»
Security Guidelines for the Natural Gas Industry
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16/110
А еще об этих
API Security Guidelines for the Petroleum Industry
API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries
American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части)
NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security»
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17/110
Но проще почитать NIST SP800-82
Общим руководством по защите АСУ ТП и выбору необходимого стандарта является руководство NIST SP800-82
Выпущен в июне 2011 года
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18/110
Потом я хотел говорить об этом
В России такой документ должен появиться только в 2014-м году
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19/110
В рамках Control Systems Security Program
Создание системы национального масштаба для координации усилий государства и частного бизнеса с целью снижения уязвимости и реагирования на угрозы, связанные с системами управления технологическими процессами, связанными с национальной критической инфраструктурой
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20/110
Но в условиях роста угрозы
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 21/110
Лучше сразу перейти к делу
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22/110
Топ10 рисков в АСУ ТП
1. Политики, процедуры, и культура ИБ неадекватны. Руководство не уделяет внимание проблеме защиты АСУ ТП. Персонал игнорирует тренинги по защите АСУ ТП
2. Плохо проработанные дизайны сетей АСУ ТП
3. Удаленный доступ к АСУ ТП осуществляется без аутентификации и авторизации
4. Стандартные механизмы системного администрирования не включены в администрирование АСУ ТП
5. Использование незащищенных беспроводных соединений
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23/110
Топ10 рисков в АСУ ТП
6. Недостаток выделенных каналов управления и неадекватное нецелевое использование сети сегмента АСУ ТП
7. Недостаток простых и понятных инструментов для обнаружения и документирования аномальной активности
8. Инсталляция ненужного ПО и железа на элементы АСУ ТП
9. Управляющие системы и команды не аутентифицируются
10.Неадекватно управляемая, разработанная и внедренная система поддержка АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 24/110
Три уровня нейтрализующих мер
• Механизмы, традиционные для не-ИТ/ИБ активностей
Базовый
• Начальные тактические мероприятия, обеспечивающие реализацию управляемых защитных функций на базе ИБ-активностей
Средний • ИБ-активности,
поддерживающие и расширяющие базовый и средний уровень и могущие потребовать дополнительной экспертизы
Расширенный
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25/110
1. Неадекватные политики и процедуры
Базовый
Заручитесь поддержкой руководства
Разработка и документирование политики кибербезопасности
Внедрение политик и процедур из государственных стандартов по безопасности КВО
Средний
Внедрение лучших индустриальных практик
Контроль выполнения политик и процедур
Расширенный
Внедрение процесса непрерывного улучшения внедряемых политик и процедур
Проведение периодических тренингов и аудитов
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 26/110
Документировать придется много
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27/110
ТАК руководство не понимает важности задачи
0
500
1000
1500
Соблюдение нормальной скорости
(807-1210 Hz)
Фаза I ~ 12.8 дней
Фаза II ~ 27 дней
Фаза III 15 или 50 минут
Фаза IV ~ 27 дней
Ско
ро
сть
в H
z
Сброс до выше чем нормальная скорость
(1410 Hz)
Катастрофа с1410 до 2 и
опять до 1064 Hz
Сброс до новой нормальной
(1064 Hz)
Фаза II ~ 27 дней
Сброс до выше чем
нормальная скорость (1410 Hz)
Стресс Новая норма Стресс
Начало заражения
Норма
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28/110
А ТАК совсем другое дело
0
20
40
60
Объем: Общее число
каскадов
Каскады в Натанзе,
2007-2012 Удача: Каскады
работающие
2008 2009 – середина
2010 2007
Решение о цели
Разработка
методов внедрения
Обкатка
Разработка кода
Подготовка к
Flame?
Stuxnet 1.0 Stuxnet 2.0
Июнь 2010
Публичное
открытие
Stuxnet
Середина-
2009
Код
появляется в
диком виде
Подготовка
После Stuxnet
Феб-07 Мар-09 Авг-09 Янв-10 Июн-10 Ноя-10 Апр-11 Сен-11 Фев-12 Окт-08 Май-08 Дек-07 Июл-07
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29/110
Или вот так…
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 30/110
Пример 4-хчасового тренинга
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 31/110
Пример 4-мичасового тренинга
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32/110
Пример политики
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33/110
Где брать информацию об уязвимостях?
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34/110
2. Плохо проработанные дизайны
Базовый
Внедрение электронного периметра и отключение всех нетребуемых соединений
Составление и поддержка списка критических ресурсов
Средний
Зонирование электронного периметра
Минимальное количество расшаренных ресурсов между корпоративной сетью и АСУ ТП
Тренинги для сотрудников, вендоров, интеграторов
Расширенный
Внедрение VLAN, PVLAN, NIPS/HIPS, обнаружения аномалий, интеллектуальных коммутаторов и т.п.
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35/110
Зонирование по Cisco SAFE for PCN
Site Business Planning and Logistics Network
Batch
Control
Discrete
Control
Supervisory
Control
Hybrid
Control
Supervisory
Control
Enterprise Network
Patch
Mgmt
Web Services
Operations
AV
Server
Application
Server
Email, Intranet, etc.
Production
Control Historian
Optimizing
Control
Engineering
Station
Continuous
Control
Terminal
Services
Historian
(Mirror)
Site Operations and Control
Area Supervisory
Control
Basic Control
Process
ЛВС АСУТП
Зона корпора-
тивной ЛВС
DMZ
Уровень 5
Уровень 3
Уровень 1
Уровень 0
Уровень 2
Уровень 4
HMI HMI
МСЭ и IPS
МСЭ и IDS
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 36/110
Логическая схема
Зона корпоративной ЛВС содержит типичные бизнес приложения
Почта, АСУП (ERP), Интернет, и т.п.
Зона ЛВС АСУ ТП отделяет критичные системы АСУ ТП
Состоит из нескольких функциональных мини-зон
Опционально: МСЭ и IDS
Зона DMZ обеспечивает связность
Содержит только некритичные системы, которым необходим доступ к корпоративной ЛВС и ЛВС АСУ ТП
Обеспечивает разделение корпоративной ЛВС и ЛВС АСУ ТП
Состоит из нескольких функциональных мини-зон
Отделена межсетевыми экранами (МСЭ) и IPS
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 37/110
Web Services Operations
Сервер приложений
Historian Mirror
DMZ
Пример DMZ
Сервер обновле- ний ПО
Антивиру- сный сервер
Терминаль- ный сервер
Прямого обмена
нет
Граница периметра
Граница периметра
Функцио-нальные
мини-зоны
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38/110
Настраивая МСЭ, не забудьте
Очень часто правила на МСЭ
Не имеют комментариев
Общие или упрощенные
Устаревшие и не удаляются
Многие без авторства/владельца или обоснования появления
Регистрация не включена
Боязнь деградации производительности – надо было тестировать ДО приобретения
МСЭ разрешает прямое соединение к нему
Одинаковые наборы правила для корпоративного МСЭ и МСЭ в АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39/110
3. Удаленный доступ к АСУ ТП
Базовый
Проработка соглашения с вендором об удаленном доступе к АСУ ТП
Проверки персонала/вендоров/интеграторов с доступом к критическим системам
Внедрение и документирование организационных процессов
Разработка и внедрение политики управления пользователями, включая парольную политику
Изменение всех паролей по умолчанию
Использование защищенного удаленного доступа (VPN, SSH, SSL, IPSec, DTLS)
Контроль всех внешних соединений
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 40/110
В 50% случаев использовались подключения сети PCN к корпоративной сети
В 17% случаев использовались подключения сети PCN к Интернету
Источник: Eric Byres, BCIT
Векторы атак
3% Беспроводные сети
7% Сети VPN
7% Модем для коммутируемых линий
7% Телекоммуникационная сеть
10% Доверенное подключение сторонних систем
(Включая зараженные ноутбуки, рост продолжается)
17% Непосредственно Интернет
49% Корпоративная сеть
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 41/110
Эволюция угроз
До 2000: внутренние угрозы
2000—2005: ВПО – в основном, черви
2006—2008: взлом ради выгоды
2008+: кибервойны?
20% Случайные
5% Прочие
31% Внешние
31% Случайные
38% Внутренние
Типы инцидентов (1982—2000) Типы инцидентов (2001—2003)
5% Внутренние
70% Внешние
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 42/110
3. Удаленный доступ к АСУ ТП
Средний
Выделение удаленного доступа в отдельный сегмент
Уникальные идентификаторы и разные уровни доступа в зависимости от потребностей
Аутентификация и авторизация удаленного доступа
Многофакторная аутентификация
Регулярный аудит методов удаленного доступа
Network mapping и war dialing для недекларированных подключений
Специальные разделы в договорах с вендорами и контраторами
Внедрение NIPS
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 43/110
3. Удаленный доступ к АСУ ТП
Расширенный
Терминальный доступ
Внедрение NAC (Network Access Control) для удаленного доступа
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 44/110
4. Системное администрирование в АСУ ТП
Базовый
Инвентаризация ПО и железа
Разработка и внедрение политики контроля качества ПО и железа (покупка, поддержка, вывод из строя и т.д.)
Внедрение процесса управления обновлениями для ОС, системного и прикладного ПО (отслеживание, оценка, тестирование, инсталляция)
Документирование и внедрение процесса установки обновлений для антивируса и IDS
Регулярный анализ прав доступа в связи с должностями
Управление правами уволенных пользователей
Изменение общих учетных записей с расширенными привилегиями
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 45/110
Инвентаризация сети АСУ ТП
Nmap
MaxPatrol
Afterglow
Создает карту сети на основе записанного сетевого трафика
Argus
Генерация сетевого трафика на базе pcap-файлов
Поисковая система Shodan
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 46/110
Nmap по-прежнему в цене
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 47/110
Shodan – Google для хакеров
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 48/110
4. Системное администрирование в АСУ ТП
Средний
Оценка и классификация приложений. Удаление ненужных
Кластеризация или дублирование компонентов АСУ ТП, позволяющие установку обновлений без простоя АСУ ТП
Полное резервирование, а также наличие резервной тестовой платформы
Договор с вендорами о возможности проверки целостности новых релизов ПО
Управление логами для контроля и отслеживания истории действий отдельных пользователей
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 49/110
4. Системное администрирование в АСУ ТП
Расширенный
Автоматическое удаление учетных записей для уволенных пользователей или утерянных бейджей
Работа с вендорами для разработки и внедрения формального процесса оценки качества ПО с целью определения функциональных возможностей через тестирование, сертификацию и аккредитацию
Тестирование на уязвимости
Ограничение числа пользователей с привилегиями администратора
Ограничение общих/разделяемых учетных записей
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 50/110
Что включать в договора с вендорами?
Cyber Security Procurement Language for Control Systems
Документ (145 стр.) аккумулирует принципы ИБ, которые должны учитываться при разработке и приобретении АСУ ТП и сервисов с ней связанных
Это рекомендация – не стандарт
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 51/110
Средства анализа защищенности
Отечественный и сертифицированный MaxPatrol
Nessus
Есть дополнения для АСУ ТП (не всегда публичные)
Сертификат на Nessus истек
Тоже платный
SCADA-аудитор (НТЦ «Станкоинформзащита»)
Cyber Security Evaluation Tool (CSET)
Бесплатный; разработан US-CERT
Средства моделирования атак
Metasploit
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 52/110
Расширения Nessus для АСУ ТП
Matrikon OPC Explorer
Matrikon OPC Server for ControlLogix
Matrikon OPC Server for Modbus
Modbus/TCP
Coil Access
Discrete Input Access Programming
Function Code Access
National Instruments Lookout
OPC DA Server/OPC Detection/OPC HDA Server
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 53/110
Расширения Nessus для АСУ ТП
Modicon
ModiconPLC CPU Type
PLC Default FTP Password
PLC Embedded HTTP Server
PLC HTTP Server Default Username/Password
PLC Telnet Server
IO Scan Status
Modbus Slave Mode
ModiconPLC Web Password Status
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 54/110
Расширения Nessus для АСУ ТП
Siemens S7-SCL
Siemens SIMATIC PDM – Siemens – Telegyr ICCP Gateway - SiscoOSI/ICCP Stack-.
SiscoOSI Stack Malformed Packet Vulnerability
Tamarack IEC 61850 Server
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 55/110
Отечественный специализированный сканер для АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 56/110
Metasploit для АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 57/110
Удаленный доступ к HMI
VNC payloads обеспечивает доступ к целевому узлу с HMI
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 58/110
Это не теория!
В 2001 году австралийский хакер был приговорен к 2 годам тюремного заключения за свою атаку на систему управления канализацией в Брисбене, которая привела к сбросу 1 млн литров нечистот на территории отеля Hyatt Regency Resort
Витек Боден, сотрудник компании, установившей компьютеры, запустил атаку в качестве мести за то, что его не восстановили на работе после увольнения
Боден использовал ноутбук, радиооборудование и программные средства для проникновения в систему управления канализацией и перепрограммирования насосов. Он был признан виновным в 46 случаях взлома
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 59/110
Расширения Metasploit для АСУ ТП
Модуль для Rockwell
Модуль для GE
Модуль для Schneider Electric
Модуль для Koyo
Модуль для WAGO
Выпущены в апреле 2012 года
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 60/110
Взломать можно – использовать не всегда!
HMI системы по выработке растительного масла
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 61/110
Иностранным хакерам тоже непросто
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 62/110
Пример: Idaho National Lab
Участвуют основные вендоры
Полнофункциональные SCADA/PCS/DCS
Взаимодействие между системами ICCP
Реальные конфигурации
Удаленное тестирование
Тестирование ИБ
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 63/110
Тестирование коммуникаций в Idaho National Lab
Единственный в Америке (и мире) беспроводной полигон размера небольшого города
9 базовых станций
Поддержка 3G, 4G, Wi-Fi, Land Mobilу Radio
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 64/110
Тестирование для энергетиков в Idaho National Lab
Собственная электростанция на 138 кВ
7 подстанций
Возможность изоляции части системы для специальных тестов
Централизованный мониторинг в реальном времени
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 65/110
5. Использование беспроводных соединений
Базовый
Разработка политики использования беспроводных соединений (включая 3G и 4G)
Регулярная оценка рисков для беспроводных соединений, включая подверженность DoS
Внедрите зашифрованные беспроводные соединения везде, где возможно
Использование нешироковещательных SSID
Внедрите процедуру отключения беспроводных соединений в условиях его неиспользования в момент нахождения в критическом сегменте
GPS/Mobile Jammer
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 66/110
Беспроводные сети очертить сложнее
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 67/110
5. Использование беспроводных соединений
Средний
Внедрение протокола 802.1x для аутентификации устройств
Включение ограничений по MAC
Используйте дизайн с направленными антеннами, там где возможно
Внедрите технологии для обнаружения посторонних точек доступа и клиентских устройств
Регулярно проводите анализ беспроводного сигнала для идентификации границ беспроводного периметра
Беспроводные IDS
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 68/110
5. Использование беспроводных соединений
Расширенный
Обнаружение незарегистрированных по 802.1x устройств
Шифрование всего беспроводного трафика на транспортном или прикладном уровне
Использование PKI и серверов сертификатов
Внедрение протокола 802.11i (WPA2)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 69/110
6. Общие каналы для управления и контроль сетевого трафика
Базовый
Определение протоколов и приложений, доступных в сети АСУ ТП. Устранение ненужных протоколов
Разделение функций по раздельным сегментам
Ограничение или запрет ненужного трафика и обеспечение качество обслуживания
Средний
Аутентификация всех точек и соединений с сегментом АСУ ТП (технически или процедурно)
Внедрение IDS для мониторинга трафика
Расширенный
Внедрение систем обнаружения аномалий и реагирования на вторжения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 70/110
В АСУ ТП есть и проприетарные протоколы
ANSI X3.28
BBC 7200
CDC Types 1 and 2
Conitel2020/2000/3000
DCP 1
DNP 3.0
Gedac7020
ICCP (IEC60870-6 или TASE.2)
Landis & Gyr8979
Modbus (Modbus+, Modbus TCP и др.)
OPC
ControlNet
DeviceNet
DH+
ProfiBus
Tejas3 and 5
TRW 9550
UCA
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 71/110
Сегментация АСУ ТП
Batch
Control
Discrete
Control
Supervisory
Control
Hybrid
Control
Supervisory
Control
Production
Control Historian
Optimizing
Control
Engineering
Station
Continuous
Control
Site Operations and Control
Area Supervisory
Control
Basic Control
Process
ЛВС АСУТП
Уровень 3
Уровень 1
Уровень 0
Уровень 2 HMI HMI
МЭ и IDS
Port Security QoS
Smart Ports NAC
Функцио-нальные
мини-зоны WAN/LAN
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 72/110
7. Обнаружение и документирование аномальной активности
Базовый
Внедрение систем для мониторинга сетевого трафика
Сохранение и регулярный аудит логов
Профилирование нормального трафика
Внедрение меток времени для SIEM
Средний
Обнаружение аномалий
Синхронизация времени в логах по GPS или NTP
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 73/110
Tcpdump/Wireshark для АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 74/110
7. Обнаружение и документирование аномальной активности
Расширенный
Внедрение долговременного хранилища для доказательств, имеющих юридическую силу
Разработка и внедрение специфических для АСУ ТП сигнатур
Работа с вендорами по разработке инструментов идентификации подозрительного трафика АСУ ТП
Внедрение SIEM
Там где целесообразно, внедрение специализированных защищенных операционных систем
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 75/110
Иерархия сигнатур для АСУ ТП
Не забывайте, что в АСУ ТП есть и широко распространенное системное и прикладное ПО
Не забывайте, что АСУ ТП используют преимущественно стек протоколов TCP/IP
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 76/110
Специализированные IPS для АСУ ТП
На рынке существуют специализированные средства предотвращения вторжений для АСУ ТП
Обратите внимание
Поддерживаемые вендоры
Доступность в России
Сертификат вам нужен?!
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 77/110
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Modbus TCP -Unauthorized Write Request to a PLC
Сигнатура alert tcp !$MODBUS_CLIENT any ->
$MODBUS_SERVER 502
(flow:from_client,established; content:”|00 00|”;
offset:2; depth:2;
pcre:”/[\S\s]{3}(\x05|\x06|\x0F|\x10|\x15|\x16)/iAR”;
msg:”Modbus TCP –Unauthorized Write Request to
a PLC”; reference:scada,1111007.htm;
classtype:bad-unknown; sid:1111007; rev:1;
priority:1;)
Резюме Неавторизованный Modbus-клиент попытался
записать информацию на PLC или иное
устройства
Воздействие Целостность системы
Отказ в обслуживании
Информация
Подверженные системы PLC и другие устройства с Modbus TCP сервером
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 78/110
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Unauthorized communications with HMI
Сигнатура alert tcp192.168.0.97 any <>
![192.168.0.3,192.168.10.21] any (msg:"HMItalking
to someone other than PLC or RTU -NOT
ALLOWED"; priority:1; sid:1000000; rev:1;)
Резюме Попытка неавторизованной системы
подключиться к HMI
Воздействие Компрометация системы
Информация
Подверженные системы PLC;RTU;HMI;DMZ-Web
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 79/110
Сигнатуры для АСУ ТП – можно и самостоятельно
ID сигнатуры
Сообщение Unauthorized to RTU Telnet/FTP
Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23
(msg:”Unauthorized connection attempt to RTU
Telnet”; flow:from_client,established; content:”GET”;
offset:2; depth:2; reference:DHSINLroadshow-
IDStoHMI1;classtype:misc-activity; sid:1000003;
rev:1; priority:1;)
Резюме Узел в контролируемой ЛВС попытлся
подключиться к RTU Telnet-серверу
Воздействие Сканирование
Компрометация системы управления
Информация
Подверженные системы RTU
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 80/110
8. Ненужное ПО
Базовый
Разработка и внедрение политик установки ПО и железа
Разработка политик и процедур для управления изменениями
Разработка и внедрение процесса отслеживания и инвентаризации железа
Обучение и повышение осведомленности персонала, ответственного за поддержку и эксплуатацию АСУ ТП
Внедрение политик и процедур контролируемого доступа аутентифицированных устройств к компонентам АСУ ТП (где возможно)
Ограничение физического и электронного доступа на основе ролей
Контролируйте автоматический останов ПО (при license expire)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 81/110
8. Ненужное ПО
Средний
Использование IDS и антивирусов
Разработка и внедрение политик использования внешних носителей и периферийных устройств
Запрет всех ненужных портов ввода/вывода на всех устройствах
Расширенный
Составление списка разрешенного ПО для каждой станции и сервера. Контроль изменений
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 82/110
9. Команды и системы управления не аутентифицируемы
Базовый
Ограничьте соединения и изолируйте коммуникации системы управления и сетевую инфраструктуру
Определите требования по целостности и аутентификации данных управления
Средний
Разработайте и внедрите политику управления криптографическими ключами
Расширенный
Используйте, там где возможно, протоколы управления, содержащие механизмы аутентификации и обеспечения целостности данных без снижение производительности (например, Secure DNP3 или DNPSec)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 83/110
10. Неадекватная система поддержки
Базовый
Определите текущую и желаемую инфраструктуру поддержки и идентифицируйте разрыв
Включите систему поддержки в планы по непрерывности. Периодически их тестируйте
Средний
Разработайте и внедрите политики для поддержки
Расширенный
Внедрите меры, устраняющие разрыв, для достижение заданного уровня поддержки/непрерывности
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 84/110
Физическую безопасность никто не отменял
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 85/110
Парафраз о защитных мерах
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 86/110
ИБ раньше не имела отношения к АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 87/110
Безопасность АСУ ТП vs ИТ-безопасность
Вопросы ИБ Традиционные ИТ АСУ ТП
Антивирус Широкое применение / общая
практика
Сложно реализовать / на
практике применяется редко
Жизненный цикл технологий 3-5 лет До 20 лет и выше
Аутсорсинг Широкое применение / общая
практика
Редко используется
Установка патчей Регулярно / по расписанию Долго и редко
Управление изменениями Регулярно / по расписанию Наследуемые системы
(плохая реализация
требования ИБ)
Контент, критичный ко
времени
Задержки принимаются Критично
Доступность Задержки принимаются 24 х 7 х 365 (непрерывно)
Повышение осведомленности Организовано неплохо Обычно слабо в вопросах ИБ
Аудит ИБ Планируется и реализуется
третьей стороной
Время от времени (после
сбоев)
Физическая безопасность Безопасности Очень неплохо, но часто
удаленно и автоматизировано
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 88/110
Средства защиты отстают – используйте компенсационные меры
Возможности злоумышленников
Возможности защиты Окно
уязвимости
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 89/110
Пока СЗИ нет, пусть АСУ ТП защищает сама себя
Безопасность как опция
Безопасность как свойство системы
Высокая сложность
Высокая стоимость интеграции
Риски ИБ не исключены
Низкая надежность
Сниженная сложность
Простота развертывания и управления
Эффективное исключение рисков ИБ
Низкие показатели TCO
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 90/110
Что с сертификацией?
Есть профиль защиты для PLC, RTU, IED
Для датчиков сертификация не нужна – они не являются мишенью для атаки и не выполняют защитных функций
HMI также не выполняют защитных функций
В России этот профиль не переведен и не используется
Есть система сертификации «ГАЗПРОМСЕРТ»
В т.ч. и средств защиты
Есть прецедент сертификации оборудования для Smart Grid по требованиям безопасности ФСТЭК
Cisco Connected Grid Router (CGR) и Connected Grid Switch (CGS)
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 91/110
Квалификация
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 92/110
Русские хакеры в Иллинойсе
Ноябрь 2011: Спрингфилд, Иллинойс объявляет о выводе из строя водонапорной станции, атакованной русскими хакерами
Впоследствии оказалось, что это «мирный» отказ насоса
ФБР и DHS обнаружили: “русским хакером” был инженер, в отпуске получивший удаленный доступ к SCADA
Извлеченный урок: Изучение логов и событий без понимания АСУ ТП (ее основ, принципов работы, протоколов и т.п.) может привести к неправильным решениям и ошибкам
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 93/110
Знаем ли мы АСУ ТП с точки зрения ИБ?
Цель: отключить город от электричества
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 94/110
Процесс: Много тысяч переключателей, клапанов, и датчиков (температура, давление , поток и т.д.)
Много Programmable Logic Controllers (PLC) (ожидающая система и принимающая решения)
Несколько Human-Machine Interfaces (HMI)
(компьютерные экраны и кнопки для людей)
Сотни Remote Terminal Units (RTU) (чтение сенсоров и контроль переключателей и
клапанов/вентилей)
Знаем ли мы что атакуют в АСУ ТП?
HMI “Lightboard” HMI
device
RTU PLC
RTU
HMI software
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 95/110
Учитывайте специфику: датчики обычно не атакуют
Дискретные сенсоры
Выполняется условие или нет
Высокий или низкий уровень угрозы
Аналоговые сенсоры
Конвертация непрерывных параметров (температура или поток) в аналоговый сигнал
Сенсоры ничего не знают о процессе, который может быть атакован или о системе, которая может быть скомпрометирована
«Оцифровка» сигнала осуществляется RTU, PLC, IED
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 96/110
И вновь о русских хакерах в Иллинойсе
Через несколько часов после заявления ФБР и DHS об отсутствии «русского следа» и неуязвимости насоса системы водоснабжения
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 97/110
И вновь о русских хакерах в Иллинойсе
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 98/110
Что означает квалификация в области ИБ для АСУ ТП?
“Обычная” квалификация Высокая квалификация Низкая квалификация
Больше возможностей
для атак до того, как обнаружат преступника
Скорейшее обнаружение
означает, что вы долго будете
находиться вне радара
злоумышленников
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 99/110
Но специалистов по ИБ для АСУ ТП в России почти нет!
ИТ-специалисты
ИБ-специалисты Специалисты
АСУ ТП
Специалисты по ИБ АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 100/110
С чего можно начать прямо сейчас?!
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 101/110
Не забывайте будущее АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 102/110
Домашняя АСУ ТП
Cisco Home Energy Controller (CGH-100)
• Экран Touch screen
• Поддержка WiFi / Ethernet
• Smart Energy Profile certified Zigbee interface
• Управление из облака
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 103/110
Домашняя АСУ ТП
Использование Термостат Как экономить?
Реакция на потребности Счет Контроль техники
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 104/110
Управление АСУ ТП из облака
Smart Plugs/ Smart
Appliances/ PCT
Cisco Home Energy Controller
(HEC)
Smart Meters
Electricity
Gas
Water
Heat
Pluggable Electric Vehicle
3rd Party B2B Feeds (Retail Energy
Providers, Google, Microsoft)
DRMS & Utility
Analytics
HEC Provisioning & Mgmt System
Energy Database
Cisco Cloud Services
Utility Portal
Utility Portal Remote Access
Broadband Network
Utility Network
Services
• Cisco Home Energy Controller (HEC) • Appliances and Peripherals • Smart Meter • Опыт пользователя • Cloud CPE Services
Ключевые элементы
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 105/110
Облачная АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 106/110
Заключение
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 107/110
9 базовых процесса защиты АСУ ТП
• Мониторинг и регистрация событий
• Расследование и сбор доказательств
• Обнаружение и оценка угроз
Мониторинг и расследование
• Управление рисками
• Управление уязвимостями
• SDLC
Управление рисками и
уязвимостями
• Планирование непрерывности бизнеса
• Управление кризисом
• Реагирование на инциденты
Реагирование и непрерывность
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 108/110
Как разработать свой стандарт?
Специально для разработки отраслевых стандартов существует набор рекомендаций, которые должны включаться (не забываться) при создании собственного набора требований по безопасности АСУ ТП
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 109/110
Опыт в России есть! Надо только начать!
© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 110/110