Защита АСУ ТП - пора действовать

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/110

Безопасность АСУ ТП: от слов к делу

Алексей Лукацкий

Бизнес-консультант по безопасности, Cisco


Что такое АСУ ТП?

В России еще ГАС «Выборы», кадастры и все, что влияет на национальную безопасность


Сначала я хотел говорить об угрозах и тенденциях в АСУ ТП

Потеря производительности

Штрафы

Судебные иски

Потеря общественного доверия

Потеря капитализации

Выход из строя оборудования

Нанесение ущерба окружающей среде

Ущерб здоровью

Человеческие жертвы

Взрыв газопровода СССР, 1982

Нефтепровод в Bellingham США, 1999

Очистные сооружения Австралия, 2001

АЭС Davis Besse США, 2003

Сеть электроэнергии США, 2003

АЭС Browns Ferry США, 2006

Обогатительные заводы в Иране, 2010

$$$.$$


Отказ на Taum Sauk

Гидроаккумулирующая электростанция Taum Sauk

АСУ ТП зафиксировала некорректный уровень воды

Насосы продолжали работать

Дамба переполнилась и размылась


Взрыв нефтяной цистерны в Бансфилде

Измерение уровня топлива «зависло»

Измерительная система показала аномалию

Закачка продолжалась

Цистерна переполнилась

Резервная система безопасности отказала


Взрыв трубы в Вашингтоне


Червь на атомной электростанции


Взлом иных типов АСУ ТП


Недавние события

Хакеры получили несанкционированный доступ к компьютерным системам водоочистных сооружений в Харрисбурге, шт. Пенсильвания, в начале октября 2006 года. Ноутбук сотрудника была взломан через Интернет, затем он использовался как точка входа для доступа к административным системам и установки вирусов, троянских и шпионских программ.

На конференции Federal Executive Leadership Conference в Вильямсбурге, штат Вирджиния, представитель спецслужбы подтвердил 200 представителям правительства и промышленности, что злоумышленники вторгались в системы нескольких организаций, составляющих национальную инфраструктуру, и требовали выкуп, угрожая отключить системы. Поставщики коммунальных услуг в США не подтверждали и не отрицали факты подобного шантажа.


Зарубежные покупки Китаем активов ТЭК и кибератаки на них

Framework for LNG deal with Russia

LNG deal with Uzbekistan

LNG deal with Australia

LNG deal with Australia

LNG deal with France

Finalization of South Pars Phase 11 with

Iran

LNG deal with QatarGas



LNG deal with Shell

LNG deal with Exxon

Shale gas deal with Chesapeake Energy in Texas

Aggressive bidding on multiple Iraqi oil fields at

auction Purchase of major stake in a second Kazakh oil company

China-Taiwan trade deal for petrochemicals

Purchase of Rumaila oil field, Iraq, at auction

McKay River and Dover oil sands deal with Athabasca, Canada

Development of Iran’s Masjed Soleyman oil

field Oil development deal with Afghanistan

Purchase of major stake in Kazakh oil company

2012 2011 2010 2009 2013 2008

Shady RAT ( U.S. natural

gas wholesaler)

Night Dragon

(Kazakhstan, Taiwan, Greece, U.S.)


Насколько велики риски?

Сведения публикуются о менее чем 1% (0,25%) инцидентов

Возможен ущерб репутации и снижение котировок акций

Риск = вероятность угрозы X возможные последствия

Выбираемые цели характеризуются бóльшим ущербом, чем легкодоступные цели

79% Случайность

21% Саботаж

12% Случайность

4% Саботаж

8% Прочее

8% Взлом

68% ВПО

Источник: Eric Byres, BCIT

Ущерб < 100 000 долл. США Ущерб > 100 000 долл. США


Потом я хотел говорить о цикле PDCA для АСУ ТП

В мае 2006 года в рамках Chemical Sector Cyber Security Program советом по ИТ химической индустрии (Chemical Information Technology Council, ChemITC) в рамках американского совета химической индустрии были предложены рекомендации по информационной безопасности в основу которых легли стандарты ISO\IEC 17799 и ISA-TR99


Потом я хотел говорить о стандартах безопасности АСУ ТП

ISA SP99

NERC CIP

Guidance for Addressing Cyber Security in the Chemical Industry

NIST PCSRF Security Capabilities Profile for Industrial Control Systems

IEC 61784-4

Cisco SAFE for PCN

КСИИ ФСТЭК

Стандарты Газпрома


И об этих

IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security»

IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security»

IEC 62351 «Data and Communication Security»

FERC Security Standards for Electric Market Participants (SSEMP)

American Petroleum Institute (API) 1164 «SCADA Security»

Security Guidelines for the Natural Gas Industry


А еще об этих

API Security Guidelines for the Petroleum Industry

API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries

American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части)

NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security»


Но проще почитать NIST SP800-82

Общим руководством по защите АСУ ТП и выбору необходимого стандарта является руководство NIST SP800-82

Выпущен в июне 2011 года


Потом я хотел говорить об этом

В России такой документ должен появиться только в 2014-м году


В рамках Control Systems Security Program

Создание системы национального масштаба для координации усилий государства и частного бизнеса с целью снижения уязвимости и реагирования на угрозы, связанные с системами управления технологическими процессами, связанными с национальной критической инфраструктурой


Но в условиях роста угрозы


Лучше сразу перейти к делу


Топ10 рисков в АСУ ТП

1. Политики, процедуры, и культура ИБ неадекватны. Руководство не уделяет внимание проблеме защиты АСУ ТП. Персонал игнорирует тренинги по защите АСУ ТП

2. Плохо проработанные дизайны сетей АСУ ТП

3. Удаленный доступ к АСУ ТП осуществляется без аутентификации и авторизации

4. Стандартные механизмы системного администрирования не включены в администрирование АСУ ТП

5. Использование незащищенных беспроводных соединений


Топ10 рисков в АСУ ТП

6. Недостаток выделенных каналов управления и неадекватное нецелевое использование сети сегмента АСУ ТП

7. Недостаток простых и понятных инструментов для обнаружения и документирования аномальной активности

8. Инсталляция ненужного ПО и железа на элементы АСУ ТП

9. Управляющие системы и команды не аутентифицируются

10.Неадекватно управляемая, разработанная и внедренная система поддержка АСУ ТП


Три уровня нейтрализующих мер

• Механизмы, традиционные для не-ИТ/ИБ активностей

Базовый

• Начальные тактические мероприятия, обеспечивающие реализацию управляемых защитных функций на базе ИБ-активностей

Средний • ИБ-активности,

поддерживающие и расширяющие базовый и средний уровень и могущие потребовать дополнительной экспертизы

Расширенный


1. Неадекватные политики и процедуры

Базовый

Заручитесь поддержкой руководства

Разработка и документирование политики кибербезопасности

Внедрение политик и процедур из государственных стандартов по безопасности КВО

Средний

Внедрение лучших индустриальных практик

Контроль выполнения политик и процедур


Внедрение процесса непрерывного улучшения внедряемых политик и процедур

Проведение периодических тренингов и аудитов


Документировать придется много


ТАК руководство не понимает важности задачи

0

500

1000

1500

Соблюдение нормальной скорости

(807-1210 Hz)

Фаза I ~ 12.8 дней

Фаза II ~ 27 дней

Фаза III 15 или 50 минут

Фаза IV ~ 27 дней

Ско

ро

сть

в H

z

Сброс до выше чем нормальная скорость

(1410 Hz)

Катастрофа с1410 до 2 и

опять до 1064 Hz

Сброс до новой нормальной

(1064 Hz)

Фаза II ~ 27 дней

Сброс до выше чем

нормальная скорость (1410 Hz)

Стресс Новая норма Стресс

Начало заражения

Норма


А ТАК совсем другое дело

0

20

40

60

Объем: Общее число

каскадов

Каскады в Натанзе,

2007-2012 Удача: Каскады

работающие

2008 2009 – середина

2010 2007

Решение о цели

Разработка

методов внедрения

Обкатка

Разработка кода

Подготовка к

Flame?

Stuxnet 1.0 Stuxnet 2.0

Июнь 2010

Публичное

открытие

Stuxnet

Середина-

2009

Код

появляется в

диком виде

Подготовка

После Stuxnet

Феб-07 Мар-09 Авг-09 Янв-10 Июн-10 Ноя-10 Апр-11 Сен-11 Фев-12 Окт-08 Май-08 Дек-07 Июл-07


Или вот так…


Пример 4-хчасового тренинга


Пример 4-мичасового тренинга


Пример политики


Где брать информацию об уязвимостях?


2. Плохо проработанные дизайны

Базовый

Внедрение электронного периметра и отключение всех нетребуемых соединений

Составление и поддержка списка критических ресурсов

Средний

Зонирование электронного периметра

Минимальное количество расшаренных ресурсов между корпоративной сетью и АСУ ТП

Тренинги для сотрудников, вендоров, интеграторов


Внедрение VLAN, PVLAN, NIPS/HIPS, обнаружения аномалий, интеллектуальных коммутаторов и т.п.


Зонирование по Cisco SAFE for PCN

Site Business Planning and Logistics Network

Batch

Control

Discrete

Control

Supervisory

Control

Hybrid

Control

Supervisory

Control

Enterprise Network

Patch

Mgmt

Web Services

Operations

AV

Server

Application

Server

Email, Intranet, etc.

Production

Control Historian

Optimizing

Control

Engineering

Station

Continuous

Control

Terminal

Services

Historian

(Mirror)

Site Operations and Control

Area Supervisory

Control

Basic Control

Process

ЛВС АСУТП

Зона корпора-

тивной ЛВС

DMZ

Уровень 5

Уровень 3

Уровень 1

Уровень 0

Уровень 2

Уровень 4

HMI HMI

МСЭ и IPS

МСЭ и IDS


Логическая схема

Зона корпоративной ЛВС содержит типичные бизнес приложения

Почта, АСУП (ERP), Интернет, и т.п.

Зона ЛВС АСУ ТП отделяет критичные системы АСУ ТП

Состоит из нескольких функциональных мини-зон

Опционально: МСЭ и IDS

Зона DMZ обеспечивает связность

Содержит только некритичные системы, которым необходим доступ к корпоративной ЛВС и ЛВС АСУ ТП

Обеспечивает разделение корпоративной ЛВС и ЛВС АСУ ТП

Состоит из нескольких функциональных мини-зон

Отделена межсетевыми экранами (МСЭ) и IPS


Web Services Operations

Сервер приложений

Historian Mirror

DMZ

Пример DMZ

Сервер обновле- ний ПО

Антивиру- сный сервер

Терминаль- ный сервер

Прямого обмена

нет

Граница периметра

Граница периметра

Функцио-нальные

мини-зоны


Настраивая МСЭ, не забудьте

Очень часто правила на МСЭ

Не имеют комментариев

Общие или упрощенные

Устаревшие и не удаляются

Многие без авторства/владельца или обоснования появления

Регистрация не включена

Боязнь деградации производительности – надо было тестировать ДО приобретения

МСЭ разрешает прямое соединение к нему

Одинаковые наборы правила для корпоративного МСЭ и МСЭ в АСУ ТП


3. Удаленный доступ к АСУ ТП

Базовый

Проработка соглашения с вендором об удаленном доступе к АСУ ТП

Проверки персонала/вендоров/интеграторов с доступом к критическим системам

Внедрение и документирование организационных процессов

Разработка и внедрение политики управления пользователями, включая парольную политику

Изменение всех паролей по умолчанию

Использование защищенного удаленного доступа (VPN, SSH, SSL, IPSec, DTLS)

Контроль всех внешних соединений


В 50% случаев использовались подключения сети PCN к корпоративной сети

В 17% случаев использовались подключения сети PCN к Интернету

Источник: Eric Byres, BCIT

Векторы атак

3% Беспроводные сети

7% Сети VPN

7% Модем для коммутируемых линий

7% Телекоммуникационная сеть

10% Доверенное подключение сторонних систем

(Включая зараженные ноутбуки, рост продолжается)

17% Непосредственно Интернет

49% Корпоративная сеть


Эволюция угроз

До 2000: внутренние угрозы

2000—2005: ВПО – в основном, черви

2006—2008: взлом ради выгоды

2008+: кибервойны?

20% Случайные

5% Прочие

31% Внешние

31% Случайные

38% Внутренние

Типы инцидентов (1982—2000) Типы инцидентов (2001—2003)

5% Внутренние

70% Внешние



Средний

Выделение удаленного доступа в отдельный сегмент

Уникальные идентификаторы и разные уровни доступа в зависимости от потребностей

Аутентификация и авторизация удаленного доступа

Многофакторная аутентификация

Регулярный аудит методов удаленного доступа

Network mapping и war dialing для недекларированных подключений

Специальные разделы в договорах с вендорами и контраторами

Внедрение NIPS




Терминальный доступ

Внедрение NAC (Network Access Control) для удаленного доступа


4. Системное администрирование в АСУ ТП

Базовый

Инвентаризация ПО и железа

Разработка и внедрение политики контроля качества ПО и железа (покупка, поддержка, вывод из строя и т.д.)

Внедрение процесса управления обновлениями для ОС, системного и прикладного ПО (отслеживание, оценка, тестирование, инсталляция)

Документирование и внедрение процесса установки обновлений для антивируса и IDS

Регулярный анализ прав доступа в связи с должностями

Управление правами уволенных пользователей

Изменение общих учетных записей с расширенными привилегиями


Инвентаризация сети АСУ ТП

Nmap

MaxPatrol

Afterglow

Создает карту сети на основе записанного сетевого трафика

Argus

Генерация сетевого трафика на базе pcap-файлов

Поисковая система Shodan


Nmap по-прежнему в цене


Shodan – Google для хакеров



Средний

Оценка и классификация приложений. Удаление ненужных

Кластеризация или дублирование компонентов АСУ ТП, позволяющие установку обновлений без простоя АСУ ТП

Полное резервирование, а также наличие резервной тестовой платформы

Договор с вендорами о возможности проверки целостности новых релизов ПО

Управление логами для контроля и отслеживания истории действий отдельных пользователей




Автоматическое удаление учетных записей для уволенных пользователей или утерянных бейджей

Работа с вендорами для разработки и внедрения формального процесса оценки качества ПО с целью определения функциональных возможностей через тестирование, сертификацию и аккредитацию

Тестирование на уязвимости

Ограничение числа пользователей с привилегиями администратора

Ограничение общих/разделяемых учетных записей


Что включать в договора с вендорами?

Cyber Security Procurement Language for Control Systems

Документ (145 стр.) аккумулирует принципы ИБ, которые должны учитываться при разработке и приобретении АСУ ТП и сервисов с ней связанных

Это рекомендация – не стандарт


Средства анализа защищенности

Отечественный и сертифицированный MaxPatrol

Nessus

Есть дополнения для АСУ ТП (не всегда публичные)

Сертификат на Nessus истек

Тоже платный

SCADA-аудитор (НТЦ «Станкоинформзащита»)

Cyber Security Evaluation Tool (CSET)

Бесплатный; разработан US-CERT

Средства моделирования атак

Metasploit


Расширения Nessus для АСУ ТП

Matrikon OPC Explorer

Matrikon OPC Server for ControlLogix

Matrikon OPC Server for Modbus

Modbus/TCP

Coil Access

Discrete Input Access Programming

Function Code Access

National Instruments Lookout

OPC DA Server/OPC Detection/OPC HDA Server



Modicon

ModiconPLC CPU Type

PLC Default FTP Password

PLC Embedded HTTP Server

PLC HTTP Server Default Username/Password

PLC Telnet Server

IO Scan Status

Modbus Slave Mode

ModiconPLC Web Password Status



Siemens S7-SCL

Siemens SIMATIC PDM – Siemens – Telegyr ICCP Gateway - SiscoOSI/ICCP Stack-.

SiscoOSI Stack Malformed Packet Vulnerability

Tamarack IEC 61850 Server


Отечественный специализированный сканер для АСУ ТП


Metasploit для АСУ ТП


Удаленный доступ к HMI

VNC payloads обеспечивает доступ к целевому узлу с HMI


Это не теория!

В 2001 году австралийский хакер был приговорен к 2 годам тюремного заключения за свою атаку на систему управления канализацией в Брисбене, которая привела к сбросу 1 млн литров нечистот на территории отеля Hyatt Regency Resort

Витек Боден, сотрудник компании, установившей компьютеры, запустил атаку в качестве мести за то, что его не восстановили на работе после увольнения

Боден использовал ноутбук, радиооборудование и программные средства для проникновения в систему управления канализацией и перепрограммирования насосов. Он был признан виновным в 46 случаях взлома


Расширения Metasploit для АСУ ТП

Модуль для Rockwell

Модуль для GE

Модуль для Schneider Electric

Модуль для Koyo

Модуль для WAGO

Выпущены в апреле 2012 года


Взломать можно – использовать не всегда!

HMI системы по выработке растительного масла


Иностранным хакерам тоже непросто


Пример: Idaho National Lab

Участвуют основные вендоры

Полнофункциональные SCADA/PCS/DCS

Взаимодействие между системами ICCP

Реальные конфигурации

Удаленное тестирование

Тестирование ИБ


Тестирование коммуникаций в Idaho National Lab

Единственный в Америке (и мире) беспроводной полигон размера небольшого города

9 базовых станций

Поддержка 3G, 4G, Wi-Fi, Land Mobilу Radio


Тестирование для энергетиков в Idaho National Lab

Собственная электростанция на 138 кВ

7 подстанций

Возможность изоляции части системы для специальных тестов

Централизованный мониторинг в реальном времени


5. Использование беспроводных соединений

Базовый

Разработка политики использования беспроводных соединений (включая 3G и 4G)

Регулярная оценка рисков для беспроводных соединений, включая подверженность DoS

Внедрите зашифрованные беспроводные соединения везде, где возможно

Использование нешироковещательных SSID

Внедрите процедуру отключения беспроводных соединений в условиях его неиспользования в момент нахождения в критическом сегменте

GPS/Mobile Jammer


Беспроводные сети очертить сложнее



Средний

Внедрение протокола 802.1x для аутентификации устройств

Включение ограничений по MAC

Используйте дизайн с направленными антеннами, там где возможно

Внедрите технологии для обнаружения посторонних точек доступа и клиентских устройств

Регулярно проводите анализ беспроводного сигнала для идентификации границ беспроводного периметра

Беспроводные IDS




Обнаружение незарегистрированных по 802.1x устройств

Шифрование всего беспроводного трафика на транспортном или прикладном уровне

Использование PKI и серверов сертификатов

Внедрение протокола 802.11i (WPA2)


6. Общие каналы для управления и контроль сетевого трафика

Базовый

Определение протоколов и приложений, доступных в сети АСУ ТП. Устранение ненужных протоколов

Разделение функций по раздельным сегментам

Ограничение или запрет ненужного трафика и обеспечение качество обслуживания

Средний

Аутентификация всех точек и соединений с сегментом АСУ ТП (технически или процедурно)

Внедрение IDS для мониторинга трафика


Внедрение систем обнаружения аномалий и реагирования на вторжения


В АСУ ТП есть и проприетарные протоколы

ANSI X3.28

BBC 7200

CDC Types 1 and 2

Conitel2020/2000/3000

DCP 1

DNP 3.0

Gedac7020

ICCP (IEC60870-6 или TASE.2)

Landis & Gyr8979

Modbus (Modbus+, Modbus TCP и др.)

OPC

ControlNet

DeviceNet

DH+

ProfiBus

Tejas3 and 5

TRW 9550

UCA


Сегментация АСУ ТП

Batch

Control

Discrete

Control

Supervisory

Control

Hybrid

Control

Supervisory

Control

Production

Control Historian

Optimizing

Control

Engineering

Station

Continuous

Control

Site Operations and Control

Area Supervisory

Control

Basic Control

Process

ЛВС АСУТП

Уровень 3

Уровень 1

Уровень 0

Уровень 2 HMI HMI

МЭ и IDS

Port Security QoS

Smart Ports NAC

Функцио-нальные

мини-зоны WAN/LAN


7. Обнаружение и документирование аномальной активности

Базовый

Внедрение систем для мониторинга сетевого трафика

Сохранение и регулярный аудит логов

Профилирование нормального трафика

Внедрение меток времени для SIEM

Средний

Обнаружение аномалий

Синхронизация времени в логах по GPS или NTP


Tcpdump/Wireshark для АСУ ТП


7. Обнаружение и документирование аномальной активности


Внедрение долговременного хранилища для доказательств, имеющих юридическую силу

Разработка и внедрение специфических для АСУ ТП сигнатур

Работа с вендорами по разработке инструментов идентификации подозрительного трафика АСУ ТП

Внедрение SIEM

Там где целесообразно, внедрение специализированных защищенных операционных систем


Иерархия сигнатур для АСУ ТП

Не забывайте, что в АСУ ТП есть и широко распространенное системное и прикладное ПО

Не забывайте, что АСУ ТП используют преимущественно стек протоколов TCP/IP


Специализированные IPS для АСУ ТП

На рынке существуют специализированные средства предотвращения вторжений для АСУ ТП

Обратите внимание

Поддерживаемые вендоры

Доступность в России

Сертификат вам нужен?!


Сигнатуры для АСУ ТП – можно и самостоятельно

ID сигнатуры

Сообщение Modbus TCP -Unauthorized Write Request to a PLC

Сигнатура alert tcp !$MODBUS_CLIENT any ->

$MODBUS_SERVER 502

(flow:from_client,established; content:”|00 00|”;

offset:2; depth:2;

pcre:”/[\S\s]{3}(\x05|\x06|\x0F|\x10|\x15|\x16)/iAR”;

msg:”Modbus TCP –Unauthorized Write Request to

a PLC”; reference:scada,1111007.htm;

classtype:bad-unknown; sid:1111007; rev:1;

priority:1;)

Резюме Неавторизованный Modbus-клиент попытался

записать информацию на PLC или иное

устройства

Воздействие Целостность системы

Отказ в обслуживании

Информация

Подверженные системы PLC и другие устройства с Modbus TCP сервером




Сообщение Unauthorized communications with HMI

Сигнатура alert tcp192.168.0.97 any <>

![192.168.0.3,192.168.10.21] any (msg:"HMItalking

to someone other than PLC or RTU -NOT

ALLOWED"; priority:1; sid:1000000; rev:1;)

Резюме Попытка неавторизованной системы

подключиться к HMI

Воздействие Компрометация системы


Подверженные системы PLC;RTU;HMI;DMZ-Web




Сообщение Unauthorized to RTU Telnet/FTP

Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23

(msg:”Unauthorized connection attempt to RTU

Telnet”; flow:from_client,established; content:”GET”;

offset:2; depth:2; reference:DHSINLroadshow-

IDStoHMI1;classtype:misc-activity; sid:1000003;

rev:1; priority:1;)

Резюме Узел в контролируемой ЛВС попытлся

подключиться к RTU Telnet-серверу

Воздействие Сканирование

Компрометация системы управления


Подверженные системы RTU


8. Ненужное ПО

Базовый

Разработка и внедрение политик установки ПО и железа

Разработка политик и процедур для управления изменениями

Разработка и внедрение процесса отслеживания и инвентаризации железа

Обучение и повышение осведомленности персонала, ответственного за поддержку и эксплуатацию АСУ ТП

Внедрение политик и процедур контролируемого доступа аутентифицированных устройств к компонентам АСУ ТП (где возможно)

Ограничение физического и электронного доступа на основе ролей

Контролируйте автоматический останов ПО (при license expire)


8. Ненужное ПО

Средний

Использование IDS и антивирусов

Разработка и внедрение политик использования внешних носителей и периферийных устройств

Запрет всех ненужных портов ввода/вывода на всех устройствах


Составление списка разрешенного ПО для каждой станции и сервера. Контроль изменений


9. Команды и системы управления не аутентифицируемы

Базовый

Ограничьте соединения и изолируйте коммуникации системы управления и сетевую инфраструктуру

Определите требования по целостности и аутентификации данных управления

Средний

Разработайте и внедрите политику управления криптографическими ключами


Используйте, там где возможно, протоколы управления, содержащие механизмы аутентификации и обеспечения целостности данных без снижение производительности (например, Secure DNP3 или DNPSec)


10. Неадекватная система поддержки

Базовый

Определите текущую и желаемую инфраструктуру поддержки и идентифицируйте разрыв

Включите систему поддержки в планы по непрерывности. Периодически их тестируйте

Средний

Разработайте и внедрите политики для поддержки


Внедрите меры, устраняющие разрыв, для достижение заданного уровня поддержки/непрерывности


Физическую безопасность никто не отменял


Парафраз о защитных мерах


ИБ раньше не имела отношения к АСУ ТП


Безопасность АСУ ТП vs ИТ-безопасность

Вопросы ИБ Традиционные ИТ АСУ ТП

Антивирус Широкое применение / общая

практика

Сложно реализовать / на

практике применяется редко

Жизненный цикл технологий 3-5 лет До 20 лет и выше

Аутсорсинг Широкое применение / общая

практика

Редко используется

Установка патчей Регулярно / по расписанию Долго и редко

Управление изменениями Регулярно / по расписанию Наследуемые системы

(плохая реализация

требования ИБ)

Контент, критичный ко

времени

Задержки принимаются Критично

Доступность Задержки принимаются 24 х 7 х 365 (непрерывно)

Повышение осведомленности Организовано неплохо Обычно слабо в вопросах ИБ

Аудит ИБ Планируется и реализуется

третьей стороной

Время от времени (после

сбоев)

Физическая безопасность Безопасности Очень неплохо, но часто

удаленно и автоматизировано


Средства защиты отстают – используйте компенсационные меры

Возможности злоумышленников

Возможности защиты Окно

уязвимости


Пока СЗИ нет, пусть АСУ ТП защищает сама себя

Безопасность как опция

Безопасность как свойство системы

Высокая сложность

Высокая стоимость интеграции

Риски ИБ не исключены

Низкая надежность

Сниженная сложность

Простота развертывания и управления

Эффективное исключение рисков ИБ

Низкие показатели TCO


Что с сертификацией?

Есть профиль защиты для PLC, RTU, IED

Для датчиков сертификация не нужна – они не являются мишенью для атаки и не выполняют защитных функций

HMI также не выполняют защитных функций

В России этот профиль не переведен и не используется

Есть система сертификации «ГАЗПРОМСЕРТ»

В т.ч. и средств защиты

Есть прецедент сертификации оборудования для Smart Grid по требованиям безопасности ФСТЭК

Cisco Connected Grid Router (CGR) и Connected Grid Switch (CGS)


Квалификация


Русские хакеры в Иллинойсе

Ноябрь 2011: Спрингфилд, Иллинойс объявляет о выводе из строя водонапорной станции, атакованной русскими хакерами

Впоследствии оказалось, что это «мирный» отказ насоса

ФБР и DHS обнаружили: “русским хакером” был инженер, в отпуске получивший удаленный доступ к SCADA

Извлеченный урок: Изучение логов и событий без понимания АСУ ТП (ее основ, принципов работы, протоколов и т.п.) может привести к неправильным решениям и ошибкам


Знаем ли мы АСУ ТП с точки зрения ИБ?

Цель: отключить город от электричества


Процесс: Много тысяч переключателей, клапанов, и датчиков (температура, давление , поток и т.д.)

Много Programmable Logic Controllers (PLC) (ожидающая система и принимающая решения)

Несколько Human-Machine Interfaces (HMI)

(компьютерные экраны и кнопки для людей)

Сотни Remote Terminal Units (RTU) (чтение сенсоров и контроль переключателей и

клапанов/вентилей)

Знаем ли мы что атакуют в АСУ ТП?

HMI “Lightboard” HMI

device

RTU PLC

RTU

HMI software


Учитывайте специфику: датчики обычно не атакуют

Дискретные сенсоры

Выполняется условие или нет

Высокий или низкий уровень угрозы

Аналоговые сенсоры

Конвертация непрерывных параметров (температура или поток) в аналоговый сигнал

Сенсоры ничего не знают о процессе, который может быть атакован или о системе, которая может быть скомпрометирована

«Оцифровка» сигнала осуществляется RTU, PLC, IED


И вновь о русских хакерах в Иллинойсе

Через несколько часов после заявления ФБР и DHS об отсутствии «русского следа» и неуязвимости насоса системы водоснабжения


И вновь о русских хакерах в Иллинойсе


Что означает квалификация в области ИБ для АСУ ТП?

“Обычная” квалификация Высокая квалификация Низкая квалификация

Больше возможностей

для атак до того, как обнаружат преступника

Скорейшее обнаружение

означает, что вы долго будете

находиться вне радара

злоумышленников


Но специалистов по ИБ для АСУ ТП в России почти нет!

ИТ-специалисты

ИБ-специалисты Специалисты

АСУ ТП

Специалисты по ИБ АСУ ТП


С чего можно начать прямо сейчас?!


Не забывайте будущее АСУ ТП


Домашняя АСУ ТП

Cisco Home Energy Controller (CGH-100)

• Экран Touch screen

• Поддержка WiFi / Ethernet

• Smart Energy Profile certified Zigbee interface

• Управление из облака


Домашняя АСУ ТП

Использование Термостат Как экономить?

Реакция на потребности Счет Контроль техники


Управление АСУ ТП из облака

Smart Plugs/ Smart

Appliances/ PCT

Cisco Home Energy Controller

(HEC)

Smart Meters

Electricity

Gas

Water

Heat

Pluggable Electric Vehicle

3rd Party B2B Feeds (Retail Energy

Providers, Google, Microsoft)

DRMS & Utility

Analytics

HEC Provisioning & Mgmt System

Energy Database

Cisco Cloud Services

Utility Portal

Utility Portal Remote Access

Broadband Network

Utility Network

Services

• Cisco Home Energy Controller (HEC) • Appliances and Peripherals • Smart Meter • Опыт пользователя • Cloud CPE Services

Ключевые элементы


Облачная АСУ ТП


Заключение


9 базовых процесса защиты АСУ ТП

• Мониторинг и регистрация событий

• Расследование и сбор доказательств

• Обнаружение и оценка угроз

Мониторинг и расследование

• Управление рисками

• Управление уязвимостями

• SDLC

Управление рисками и

уязвимостями

• Планирование непрерывности бизнеса

• Управление кризисом

• Реагирование на инциденты

Реагирование и непрерывность


Как разработать свой стандарт?

Специально для разработки отраслевых стандартов существует набор рекомендаций, которые должны включаться (не забываться) при создании собственного набора требований по безопасности АСУ ТП


Опыт в России есть! Надо только начать!

Защита АСУ ТП - пора действовать

Technology

lng deal

2007 cisco systems

eric byres

rights reserved

major stake

nist sp800

hmi

plc