ПОДХОД «ЛАБОРАТОРИИ КАСПЕРСКОГО» К ЗАЩИТЕ ИНДУСТРИАЛЬНОЙ СЕТИ

Георгий Шебулдаев

STUXNET

2

6 10

300

Flame Gauss Stuxnet

Первый общеизвестный пример кибер-оружия, 2010 год

► Сложная вредоносная программа, нацеленная на индустриальные системы; более 300,000 инцидентов в мире. «Лаборатория Касперского» принимала участие в глобальном расследовании; наши аналитики обнаружили ключевые детали в структуре Stuxnet.

► «Лаборатория Касперского» обнаружила следующие поколения кибер-оружия: Gauss, Flame, NetTraveler, RedOctober, IfceFog и т.д.

Approximate number of incidents (k)

Threat landscape

АТАКИ НА КРИТИЧЕСКУЮ ИНФРАСТРУКТУРУ ПРОДОЛЖАЮТСЯ

3 Threat landscape

ICS-CERT 2013 год

u 256 Инцидентов

u 20% - Технологические сети

u 56% - Энергетический сектор

«Control System Security Survey», SANS, 2014

u 9% специалистов уверены в отсутствии уязвимостей

u 16% признались о том что не построен процесс поиска уязвимостей

НЕМНОГО СТАТИСТИКИ

HMI 8% Wifi

5%Mobile Devices4%

Корпоративные сети33%Удаленный доступ

25%

Интернет соединения

8%

Внешние подрядчики9%

USB порты8%

Вирусные атаки; 35%

SCADA неисправно

сти; 19 %

Ошибки операторов;

11%

Ошибки ПО; 23%

Другие; 12%

Основные причины инцидентов в индустриальных сетях, RISI Annual Summary 2013

35% - вирусные атаки. Методы проникновения.

ЧТО ЗАТРУДНЯЕТ ПОСТРОЕНИЕ ЗАЩИТЫ?

5

►Недостаточная осведомленность, смесь слухов и реальности, недостаток данных

►Информационные системы в промышленности:►Старые►Незащищенные►С трудом поддаются обновлению

►Типовые «офисные» средства ИБ не подходят

►Недостаток навыков ИБ, и обще-принятой практики ИБ АСУ ТП

Threat landscape

ПРИЧИНЫ ИНЦИДЕНТОВ

6

ТАРГЕТИРОВАНЫЕ КИБЕРАТАКИ

§ Шпионаж, саботаж, кража данных, могут вестись одновременно в корпоративных и промышленных сетях;

§ Могут обходить средства защиты в чрезвычайных ситуациях;

§ Могут эффективно скрываться от систем комплексного мониторинга и аудита безопасности;

§ Предназначены для долгосрочного скрытого присутствия в целевых системах;

§ Трудно определить использованный метод проникновения.

СЛУЧАЙНЫЕ ЗАРАЖЕНИЯ И СЕТЕВЫЕ АТАКИ

§ Промышленные информационные системыуязвимы для "непромышленных" угроз, таких каксетевые атаки,черви итп

§ Высокая вероятность случайного заражения илиатаки;

§ Быстрое распространение атаки;

§ Могут нарушить функционирование управляющейединицы (любой SCADA компонент, в том числе, иHMI ПЛК);

§ Трудно установить источник и способ заражения;

§ Не всегда возможно полностью устранитьзаражение информационной системы, что делаетвозможнымиповторные эпидемии;

ПРИЧИНЫ ИНЦИДЕНТОВ

7

ОШИБКИ ОПЕРАТОРОВ И ИНЖЕНЕРОВ

§ Не могут быть устранены лишь организационными мерами;

§ Сложно предсказать и моделировать;

§ Зачастую не могут быть определены техническими мерами, что затрудняет анализ и расследование инцидентов.

ДЕЙСТВИЯ ИНСАЙДЕРОВ

§ Осведомлены о технологических процессах;

§ Способны найти слабые места в промышленных системах безопасности;

§ Способны обойти системы аудита / мониторинга;

§ Могут находиться в сговоре с операторами системы управления.

ПОДХОД К ЗАЩИТЕ ИНДУСТРИАЛЬНЫХ ОБЪЕКТОВ

8

ВЕРХНИЙ УРОВЕНЬ SCADAСИСТЕМ

9

§ Уязвимые Windows-ПК используемые в технологических сетях;

§ Доступ к ERP/MES системам или Интернет;

§ Неконтролируемое использование приложений;

§ Неавторизованное подключение 3G модемов/точек доступа;

ВЕКТОРЫ АТАК§ Неконтролируемое использование USB

накопителей;

§ Неконтролируемое использование устройств контрагентов/подрядчиков на технологических площадках;

§ Использование уязвимых необновляемыхприложений;

ПРОДУКТЫKaspersky Endpoint Security (Industrial Mode)

Critical Infrastructure Protection (CIP Endpoint) – релиз Q4 2015

ВЕРХНИЙ УРОВЕНЬ SCADAСИСТЕМ

10 Kaspersky Lab Strategy

Виды угроз Технологии «Лаборатории Касперского»

Вирусы, трояны, эксплойты , угрозы «нулевого дня»

Передовое антивирусное ядро объединяющее сигнатурные, эвристические, проактивные и облачные технологии IT-безопасности

Сетевые атаки на промышленные узлы Системы обнаружения и блокировки сетевых атак, сетевой экран

Запуск нежелательного ПО на АРМе операторов/инженеров

Контроль запуска программ на основе черных и белых списков, а также применение сценариев «Запрет по умолчанию» и «Разрешение по умолчанию»

Уязвимости в технологическом программном обеспечении Мониторинг уязвимостей

Подключение несанкционированных устройствКонтроль устройств, позволяющий ограничивать подключение устройств на основе типа, серийного номера или способа подключения устройства

Вероятность блокировки антивирусным ПО промышленного ПО

Проведение сертификации на совместимость с ведущими промышленными вендорами (Siemens, Rockwell и т.д.). Система предварительной проверки антивирусных баз

ЛОЖНЫЕ СРАБАТЫВАНИЯ

Internet

DMZ

Workstation

Update Agent

Notebook

Email Server

File Severs

1

Corporate Network

Kaspersky Security Center

2

Testing the updates

3 4

Data historianConfiguration server

Data collection

server

Engineering workstationHMI5

1. Download AV Updates on the UA

2. Download AV Updates on the KSC

3. Testing AV Updates on the test stand

4. Test Result5. Updating AV clients in the

Industrial Network

11

Industrial Network

Необходимо производить проверку обновлений перед развертыванием их на защищаемые объекты.

СЕРТИФИКАЦИЯ И ПАРТНЁРСТВА

12

СРЕДНИЙ УРОВЕНЬ SCADAСИСТЕМ

13

• Несанкционированное подключение устройств;

• Нелегитимное обновление прошивок устройств;

• Отправка нелегитимных управляющих команд с целью нарушения ТП;

• Внесение изменений в данные, передаваемые по технологической сети;

ВЕКТОРЫ АТАК

ПРОДУКТ

Kaspersky Trusted Monitoring System (TMS)

СХЕМА ПОДКЛЮЧЕНИЯ KTMS

14 Kaspersky Lab Strategy

СРЕДНИЙ УРОВЕНЬ SCADAСИСТЕМ

15

Меры  по   обеспечению  безопасности Функционал  TMS

Контроль  целостности  технологической  сети TMS  NAC

Обнаружение  сетевых  аномалий TMS   IPS

Обнаружение  управляющих  команд,  приводящих  к  нарушению  ТП TMS  DPI

Мониторинг  событий  безопасности TMS  UI,  KSC

Построение  корреляций  между  событиями  в  технологической  сети  и  прочими  событиями  безопасности TMS  SIEM  Integration

Оценка  хронологии  инцидента,  масштабов  его  распространений  и  нанесенного  ущерба TMS   Logging

KASPERSKY TRUSTED MONITORING SYSTEM

ОСНОВНЫЕ ЗАДАЧИ

17 Kaspersky Lab Strategy

Контроль целостности сетиИдентификация устройств в сети.Обнаружение новых устройств в режиме реального времени.Уведомление о подключении новых устройств.

Контроль целостности PLC-проектовРегулярное отслеживание изменений микропрограмм PLC.Оповещение о незапланированных изменениях.

Обнаружение сетевых аномалийДетектирование нелигитимныхкоманд и сетевого трафика, выводящих из строя системы управления (SCADA, HMI, PLC).Обнаружение в индустриальной сети присутствия вредоносного ПО, локализация очагов заражения.Обнаружение в индустриальной сети действий злоумышленников, не использующих вредоносное ПО.

Обнаружение управляющих команд, приводящих к нарушению технологического процесса

Обнаружение команд на остановку/перезагрузку/перепрошивкуPLCОбнаружение команд, устанавливающих недопустимые/нежелательные значения ключевых параметров управления технологическим процессом

СРЕДНИЙ УРОВЕНЬ SCADAСИСТЕМ

18 Kaspersky Lab Strategy

Виды угроз Технологии «Лаборатории Касперского»

Несанкционированное изменениетехнологического процесса из за ошибок оператора или вредоносного воздействия

Модули контроля и мониторинга информационного взаимодействия между промышленными объектами в технологической сети

Появление несанкционированных сетевых устройств внутри технологической сети

Контроль целостность вверенного участка технологической сети, позволяющий обнаруживать появление в ней новых сетевых устройств

Изменение целостности прошивокконтроллеров Контроль целостности прошивок защищаемых контроллеров

СотрудникиИБ не оповещены о состоянии технологической сети Система мониторинга состояния технологичеких процессов

КОМПЛЕКСНЫЕ ПРОЕКТЫ ПО ПОСТРОЕНИЮ ПОДСИСТЕМ КИБЕРБЕЗОПАСНОСТИ АСУТП

ОСНОВНЫЕ ЗАДАЧИ

20

Уровни защиты Продукты для защиты индустриальной сети

Корпоративная сеть • Kaspersky Total Security для бизнеса;• Kaspersky Security for virtualization

Верхний уровень SCADAсистем

• Kaspersky Security for ICS (CIP)• Kaspersky Security Center • Kaspersky Anti-Virus for Windows Servers Enterprise Edition

Средний уровень SCADAсистем

Kaspersky Trusted Monitoring System

Проектированиеи внедрение

Kaspersky Professional Services

Поддержка MSA for ICS

ФОРМАТЫ СОТРУДНИЧЕСТВА

21

1) СОИСПОЛНИТЕЛИ В КОМПЛЕКСНЫХ ПРОЕКТАХ

• Участие экспертов ЛК в обследовании, pen-test’ах, построении модели угроз

• Участие в создании проектной документации

• Адаптация продуктов под нужды и процессы заказчика

• Участие во внедрении

• Сервисы расширенной поддержки

2) РЕФЕРЕНСНЫЕ ПРОЕКТЫ

• Выбор репрезентативной площадки

• Обследование экспертами ЛК

• Модель угроз, рисков

• Внедрение средств защиты ЛК

СПАСИБО