Решения InfoWatch для обеспечения кибербезопасности...
-
Upload
- -
Category
Technology
-
view
394 -
download
2
Transcript of Решения InfoWatch для обеспечения кибербезопасности...
Комплексный подход к обеспечению
информационной безопасности
АСУ ТП.
Решения InfoWatch
Аносов Дмитрий,
Менеджер по развитию продукта
Вместо вступления.
Аксиоматика.
АСУ ТП – уязвимы (даже если не подключены к интернету)
АСУ ТП – необходимо защищать
АСУ ТП – атаки могут привести к серьезным последствиям
Государство регулирует вопросы ИБ АСУ ТП, по крайней мере для КВО
Основной нормативный документ – Приказ № 31 ФСТЭК России (с РД и МД), а также отраслевые и внутренние стандарты
Уязвимости АСУ ТП
Использование уязвимых технологий: ОС, приложений, открытых протоколов
Реализация возможности удаленного доступа с использованием IP-протоколам на уровне ЛВС, контроллеров, датчиков, механизмов
Применение при проектировании АСУ ТП, протоколов и средств связи без защиты
Подход InfoWatch к обеспечениюИБ АСУ ТП
От чего и что
защищаем?
Объект защиты:
технологический процесс
И защищать нужно - от ЛЮБЫХ угроз
(информационного характера)
Проектировение СЗИ для АСУ ТП начинается с изучения
защищаемой системы
• Объекты защиты по своему уникальны
• Каждая АСУ ТП по своему уникальна, у компонентов (ПЛК) также свои особенности. Знать и предугадать заранее нельзя
• Прежде, чем иметь дело с любой уникальной системой, ее необходимо изучить
Аудит ИБ
Аудит ИБ АСУ ТП – максимально эффективный способ исследовать
конкретную АСУ ТП с точки зрения информационной безопасности
Комплексный
подход
Способ
воздействияРешение InfoWatch
Препятствие
Управление
Маскировка
Регламентация
InfoWatch Automation System Advanced Protection (ASAP)
Аудит
Меры обеспечения
ИБ
Организационные меры
Технические меры
Стадии проекта по
ИБ АСУ ТП
Аудит
• Изучение АСУ ТП заказчика
• Составление модели угроз
• Проект СЗИ
• Понимание стоимости и сроков
• Составление документации
Стенд
• Опробация решения на изолированном сегмента АСУ ТП Заказчика
• Внесение правок и корректировок в систему СЗИ
Пилот
• Пилотное внедрение на рабочем сегменте АСУ ТП Заказчика
• Обучение персонала
• Составление план-графика внедрения
• Составление проектно-сметной документации для внедрения
Внедрение
• Установка решения на объекте заказчика
• Обучение персонала
• Поддержка и сопровождение
Комплексный
подход
Решения InfoWatch для ИБ АСУ ТП
Услуги
Аудит (по 31-му Приказу)
Комплексный аудит ИБ
организации
Разработка стандартов ИБ и нормативной документации
Продукты
Платформа АПК ASAP
Защита нижнего и среднего уровня АСУ ТП
Элементы комплексной
защиты
MES/ERP
TCP/IP
SCADA,HMISrv
Уровень
диспетчеризации
Программируемые
контроллеры (ПЛК)Уровень
управления
Полевые устройстваПолевой
уровень
ASAP
SRV
АРМ
ИБ
ASAP УЗ
ASAP УЗ ASAP УЗ
ПОД
ЗАЩИТОЙ
IW ASAP
Состав системы
Распределенные по объекту ASAPАппаратная база определяется исходя из: количества
контролируемых интерфейсов связи и их распределенности
по объекту, объема обрабатываемой информации, стандартов
и протоколов передачи информации
ПО сервера обработки информации,
поступающей с ASAPПО сервера может быть установлено на существующие средства
вычислительной техники объекта
ПО для службы безопасностиПО является тонким клиентом для сервера и может быть
установлено на существующие ПК. ПО позволяет формировать
аналитические отчеты по заданным параметрам в интересах
заказчика. Отчеты могут дополняться графической
визуализацией
* ASAP – средства обнаружения аномалий
Функциональные
блоки защиты
ASAP
Межсетевое экранирование
(МЭ)
Обнаружение и предотвращение
вторжений
(СОВ)
Мониторинг и анализ
защищенности
(МЗ)
Контроль технологического
процесса
(КТП)
Модуль анализа и графический
интерфейс пользователя
(GUI)
Обеспечение собственной безопасности
(ОСБ)
Межсетевое
экранирование
Собственная разработка
Стандартная фильтрация + DPI по промышленным протоколам
Система защищенного хранения и обеспечения целостности конфигураций
Система полного зеркалирования всего трафика (опция)
При необходимости может выполнять функции маршрутизации
Межсетевое экранирование
(МЭ)
СОВ
Блок сигнатурного
анализа
Блок накопления и
анализа статистических
данных
Обнаружение атак
канального уровня, в
т.ч. подмены сигнала
Обнаружение вредоносного
кода в трафике,
информационных атак
общего вида (по аналогии с
антивирусом)
Обнаружение
специфических атак на АСУ
ТП (собственные сигнатуры)
Обнаружение и предотвращение
вторжений
(СОВ)
Выявление аномалий
Анализ
защищенности
Блок активного
сканирования
Блок пассивного
сканирования
• Сканирует защищаемую систему в режиме реального времени на
наличие уязвимостей
• Действия с трафиком: идентификация, проверка, сравнение с
базой сигнатур
• Не использует автоматические средства поиска
Мониторинг и анализ
защищенности
(МЗ)
Контроль
технологического
процесса
Обеспечивает целостность, доступность и непрерывность
технологического процесса
• Специальный интерфейс настройки и адаптации к технологическим процессам предприятия
• Используются формулы связи уставок и параметров технологического процесса, задаваемые при внедрении и в ходе работ по сопровождению
• Использует данные, полученные в результате предпроектного аудита информационной безопасности технологической сети на объекте
• В случае попытки нарушения технологического процесса, может подменять некоторые варианты трафика, предотвращая негативный эффект
Контроль технологического
процесса
(КТП)
Обеспечение
собственной
безопасности
Безопасность и целостность передаваемых данных
Раздельная аутентификация
Безопасность устройства защиты ASAP
Шифрование всех данных и всего
трафика, передаваемого внутри ASAP
Технологические пользователи, под
которыми осуществляется связь
СЕРВЕР-АРМ, никак не связаны с
таковыми при связи СЕРВЕР-УЗ
• Контроль целостности
• Модель управления доступом
• Аудит кода при разработке
• Собственная методика
обеспечения защиты
Модуль GUI
Построен по системе «виджетов»
Позволяет выводить на главный экран любые комбинации информационных блоков
Может быть сконфигурирован каждым пользователем индивидуально
Предоставляет консолидированную информацию о состоянии ИБ защищаемой системы
Графический интерфейс
пользователя
Схема работы
решения
Получение
параметров всех
защищаемых
технологических
процессов
Глубокий анализ
трафика на
уровнях SCADA-
PLC и PLC-
полевой уровень
Сравнение с
характерным цифровым
отпечатком, поиск
аномалий с учетом
допустимых отклонений
В случае
обнаружения
аномалий –
срабатывает СОВ
Локализация места
возникновения
аномалии,
информирование
сотрудника ИБ
Действия по
согласованному
заранее
регламенту
Архитектура
Сервер ASAP
СерверМодуль
КТП
Модуль
МАЗ
Аналитика
уровня
сервера
АРМ ИБ
Интерфейс
пользователя
УЗ уровня ПЛК
МЭ уровня
PLK
СОВ
уровня PLK
Аналитика
уровня PLK
УЗ уровня устройств
МЭ уровня
устройств
СОВ
уровня
устройств
Аналитика
уровня
устройств
Уровень
устройств
Уровень
сервера
Уровень
рабочей
станции
Маршрутизатор ASAP
Соответствует
приказу №31 ФСТЭК
• Руководящему Документу ФСТЭК России «Средства вычислительной
техники. Защита от несанкционированного доступа к информации.
Показатели защищенности от несанкционированного доступа к
информации» (РД по СВТ) – класс 5
• Руководящему Документу ФСТЭК России «Средства вычислительной
техники. Межсетевые экраны. Защита от несанкционированного доступа
к информации. Показатели защищенности от несанкционированного
доступа к информации (РД по МЭ) – класс 3
• Методическому Документу ФСТЭК России «Профиль защиты систем
обнаружения вторжений уровня сети пятого класса защиты
ИТ.СОВ.С5.ПЗ» (РД по СОВ) – класс 5
• Руководящему Документу ФСТЭК России «Защита от
несанкционированного доступа к информации. Часть 1. Программное
обеспечение средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей» - (РД по НДВ) –
класс 4
Спасибо за внимание!