1. DATAPK на страже АСУ ТП Алексей Шанин Директор лаборатории DATAPK
6. 6 Источники информации Сетевой трафик Конфигурации События Контроль состояния Анализ групп данных:
12. 12 Отзывы заказчиков Соответствие требованиям законодательства Повышение уровня осведомленности о состоянии ИБ в АСУ ТП ? Выявление инцидентов ИБ в АСУ ТП
16. Алексей Шанин Директор лаборатории DATAPK ООО «УЦСБ» ashanin@ussc.ru +7 (343) 379 - 98 - 34 ( доб. 1193) 16
10. 10 Источники информации: контроль состояния Технологии: • Механизм OVAL ( Open Vulnerability and Assessment Language) Функции: • Анализ уязвимостей • Контроль соответствия требованиям ИБ Особенности: • Безагентный сбор и поддержка сторонних баз
9. 9 Источники информации: события Технологии: • Пассивный и активный режимы • Нормализация и обогащение событий • Корреляция событий • Визуализация данных Функции: • Сбор событий с объектов защиты • Визуальное представление данных • Выявление инцидентов ИБ на основе правил • Управление статусами инцидентов ИБ Особенности: • Поддержка новых объектов защиты без изменения кода
13. 13 Средства обеспечения ИБ АСУ ТП (приказ No235) СрЗИ от НСД Средства антивирусной защиты Средства обнаружения вторжений Межсетевые экраны Средства управления событиями Средства анализа защищенности Средства защиты каналов передачи данных Возможна реализация средствами DATAPK
15. 15 Преимущества DATAPK Всесторонний мониторинг ИБ АСУ ТП – комплексный анализ данных из различных источников: • Сетевой трафик, конфигурации, события, состояние защищенности Получение данных от АСУ ТП без инсталляции стороннего ПО: • Пассивное получение данных в режиме прослушивания • Опрос компонентов АСУ ТП с использованием их штатных механизмов сетевого взаимодействия Адаптация к АСУ ТП Заказчика без привлечения разработчика: • Расширение перечня анализируемых протоколов, параметров конфигураций, выявляемых инцидентов ИБ • Расширение источников и типов событий Поддержка распределенных инсталляций: • Централизованное управление всей инсталляцией и консолидация данных трехуровневой иерархии • Адаптация под реальные каналы связи – обмен результатами обработки данных и минимальная нагрузка на сеть передачи данных
2. 2 Модель мониторинга безопасности АСУ ТП Контролируемый канал связи (МЭ, диод данных) Защищаемая АСУ ТП • Безопасная настройка компонентов • Ограничение доступа оперативного персонала (режим «киоска») • Отключение инженерных (сервисных) станций Смежная система Непрерывный мониторинг отклонений от эталонной модели : • Состав компонентов АСУ ТП • Конфигурации ПО и оборудования • Схема информационных потоков • Анализ событий ИБ • Анализ конфигураций на соответствие требованиям / наличие известных уязвимостей
14. • идентификация и аутентификация (ИАФ) • управление доступом (УПД) • ограничение программной среды (ОПС) • защита машинных носителей информации (ЗНИ) • аудит безопасности (АУД) • антивирусная защита (АВЗ) • предотвращение вторжений (компьютерных атак) (СОВ) • обеспечение целостности (ОЦЛ) • обеспечение доступности (ОДТ) • защита технических средств и систем (ЗТС) 14 Меры по защите информации (приказы No31 и No239) • защита информационной (автоматизированной) системы и ее компонентов (ЗИС) • реагирование на компьютерные инциденты (ИНЦ) • управление конфигурацией (УКФ) • управление обновлениями программного обеспечения (ОПО) • планирование мероприятий по обеспечению безопасности (ПЛН) • обеспечение действий в нештатных ситуациях (ДНС) • информирование и обучение персонала (ИПО)
5. 5 Режимы функционирования Пассивный мониторинг: • Однонаправленное получение данных • Прослушивание трафика и прием событий Сканирование защищенности: • Выявление уязвимостей и проверки на соответствие требованиям ИБ • Взаимодействие в режиме «Запрос - Ответ» с использованием штатных механизмов объектов защиты Активный мониторинг: • Получение конфигураций и событий • Взаимодействие в режиме «Запрос - Ответ» с использованием штатных механизмов объектов защиты Функции Пассив - ный Актив - ный Скани - рование Сбор событий ИБ Обнаружение атак Выявление сетевых аномалий Сбор конфигураций Определение текущего состава ОЗ Выявление изменений в составе ОЗ Проверка ОЗ на наличие уязвимостей
11. 11 Трехуровневая иерархия ПАК DATAPK верхнего уровня ПАК DATAPK среднего уровня ПАК DATAPK базового уровня Передача вниз: • Управляющие команды • Группы и метки • Политики сбора данных • Правила нормализации событий • Правила корреляции событий • Правила обнаружения вторжений • Определения OVAL Передача вверх: • Объекты защиты • Информационные потоки • Карты сети • Конфигурации • События • Инциденты ИБ • Результаты проверок OVAL
3. 3 Мониторинг безопасности в лучших практиках по обеспечению ИБ АСУ ТП Приказ ФСТЭК России No239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» : • Группа мер управление конфигурацией (УКФ) • Меры : АУД.1 – инвентаризация информационных ресурсов, АУД.4 – регистрация событий безопасности, АУД.5 – контроль и анализ сетевого трафика, АУД.7 – мониторинг безопасности, ОЦЛ.1 – контроль целостности ПО, ОЦЛ.2 – контроль целостности информации, SP 800 - 137 « Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations » : • Домены автоматизации безопасности : управление уязвимостями, управление событиями, управление инцидентами, управление активами, управление конфигурацией, управление сетью • Трёхуровневая референсная модель непрерывной системы мониторинга ИБ RIPE Framework: • System population characteristics – инвентаризационная информация об АСУ ТП • Network Architecture – схема сети • Component Interaction – информация о сетевом взаимодействии компонентов АСУ ТП
7. 7 Источники информации: сетевой трафик Технологии: • Глубокая инспекция пакетов ( DPI) • Обнаружение вторжений ( IDS) Функции: • Обнаружение сетевых узлов и ведение каталога активов • Выявление информационных потоков и ведение их базы • Визуализация карты сети • Выявление запрещенных коммуникаций и управляющих команд • Обнаружение вторжений Особенности: • Получение данных исключительно в пассивном режиме со SPAN/Mirror портов коммутаторов Анализ промышленных протоколов : S 7 comm, TPKT, COTP, OMRON FINS, IEC 104 , IEC 61850 , Suitelink , MDLC, BSAP, Modbus TCP, OPC DA и другие Средство обнаружения вторжений : Snort - подобные правила
4. 4 DATAPK – основа системы анализа и мониторинга состояния ИБ АСУ ТП • Выявление изменений в составе АСУ ТП • Выявление атак на компоненты АСУ ТП • Сбор и контроль конфигураций компонентов АСУ ТП • Сбор и корреляция событий • Анализ защищенности и контроль выполнения требований ИБ • Трехуровневая иерархия • Интеграция со смежными системами DATAPK – специализированный программно - аппаратный комплекс, обеспечивающий: • Сертификат соответствия ФСТЭК России No 3731 от 12 . 04 . 201 7 г . • Запись в реестре отечественного ПО No 4732 , на основании приказа No 475 Минкомсвязи России • Наличие успешных внедрений на предприятиях промышленности
8. 8 Источники информации: конфигурации Технологии: • Активный режим • Безагентный сбор с использованием штатных механизмов обмена данными Функции: • Ведение каталога конфигураций • Контроль соответствия эталонным конфигурациям Особенности: • Поддержка новых объектов защиты без изменения кода Протоколы : • RPC, WinRM , SSH, Telnet, SNMP, SMB, SCP, FTP, NFS, MSSQL, Oracle DB, MySQL, S 7 comm, PROFINET , Modbus TCP, OPC UA Сетевое оборудование Cisco, HP, Hirschmann , MOXA, Advantech , Check Point, Siemens SCADA Simatic WinCC, TrainView , TRACE MODE Runtime, Wonderware Intouch, ICONICS GENESIS - 32 , MasterSCADA , RSLinx Операционные системы Windows (c Win 98 ), семейства Linux и UNIX СУБД MSSQL, MySQL, OracleDB , PostgreSQL ПЛК Siemens (S 7 comm), другие ( PROFINET TCP, MODBUS TCP, SNMP, FTP и пр . )