ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ...

ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУРКонстантин Каманин, Руководитель направления защиты КВО

СЕКТОРЫ КРИТИЧЕСКИ ВАЖНОЙ ИНФРАСТРУКТУРЫ

• Энергетика• Транспорт• Водоснабжение• Пищевая пром-ть• Коммуникации• Экстренные службы• Финансовые услуги• Правительство• Здравоохранение

• Энергетика• Химическое произв-во• Коммерческие центры• Ядерные объекты• Транспортные системы• Водоснабжение(отведение)• Критическое производство• Дабмы• Производство для армии• Пищевая промышленность• Экстренные службы• Коммуникации• Финансовые услуги• Государственные ресурсы• Здравоохранение• Информационные

технологии

Промышленная безопасность

2 Critical Infrastructure Protection scope

ПРОМЫШЛЕННЫЕ СИСТЕМЫ УЯЗВИМЫ

3

US

ICS

-CE

RT (D

efe

nse

in D

ep

th): C

um

ula

tive sch

em

e

Работают по 5-10 лет без обновления При разработке про ИБ не думали

Пока нет «промышленных» средств ИБ Анти-вирус отсутствует или выключен

Compliance – это не безопасность Защиты периметра недостаточно Вредоносное ПО попадает внутрь Сотрудники – самое слабое звено

защиты

Critical Infrastructure Protection scope

Каждая часть индустриальной системы уязвима: ПЛК, ПО, протоколы, офисное ПО, люди

4

ПОДХОД К ПРОМЫШЛЕННОЙ БЕЗОПАСНОСТИ


Офисная ИБ – защита данных

Промышленная ИБ – защита Процесса

Производственный процесс д.б. непрерывным, и только потом - защищенным

Corporate network

1. Доступность

2. Целостность

3. Конфиден-циальность

1. Конфиден-циальность

2. Целостность

3. Доступность

ЧТО ЗАТРУДНЯЕТ ЗАЩИТУ КВО?

5

Недостаточная осведомленность, смесь слухов и реальности, недостаток данных

Информационные системы в промышленности:• Старые

• Незащищенные

• С трудом поддаются обновлению

Типовые «офисные» средства ИБ не подходят

Недостаток навыков ИБ, и обще-принятой практики ИБ АСУ ТП


Атакующие:

Уязвимости хорошо известныБольшинство информации об уязвимостях открыто и опубликовано независимыми исследователями

Эксплойт создать - дешево

Продать эксплойт - дорого$80,000 за уязвимость нулевого дня

Готовый рынокКаждый желающий может купить

Защищающиеся:

Атаки – успешные или нет – широко не освещаются

Сообщения могут вызвать панику“Атака на SCADA” ноябрь 2011 – ошибочное сообщение об атаке на станцию водоснабжения

US-ICS CERT публикует только те уязвимости, для которых уже есть патч

“Back Doors” для целей отладки ПО объявляются возможностями, хотя представляют собой серьезную уязвимость

ТЕАТР ВОЕННЫХ ДЕЙСТВИЙ

Threat landscape6

Реальны, постоянны, мало-известныСложно разделить шум, слухи и точные данные

Угрозы исходят от всехГосударства, Криминал, Хактивисты, Дети

Эшелонированные смешанные группы

И простые, и сложные (Advanced Persistent Threats)

Шпионаж часто – первая стадия атаки

Многоходовые направленные атаки

Или созданные всего за 1-2 недели

УГРОЗЫ ПРОМЫШЛЕННЫМ СИСТЕМАМ

Threat landscape7

ПРЕДЛОЖЕНИЕ «ЛАБОРАТОРИИ КАСПЕРСКОГО»

8 Kaspersky Lab Strategy

1. Технологии и продукты

2. Отчеты и анализ угроз

3. Расширенные услуги по защите

4. Тренинги и обучающие программы

5. Международное и отраслевое сотрудничество

6. Методология и практика защиты АСУ ТП

Знание

Технологии

Измерение

Практика

Навыки

Регулирование

Сотрудничество Знание Защита Обнаружение Ответ Восстановление

ТЕХНОЛОГИИ «ЛК» ДЛЯ ЗАЩИТЫ ПРОМЫШЛЕННОЙ СЕТИ


Разные уровни предприятия, разные виды угроз

Корпоративная сеть

Верхний уровень SCADA систем – АРМ инженеров, SCADA система, системы хранения данных и т.д.

Нижний уровень SCADA систем – PLC, промышленные протоколы, объекты управления

ВЕРХНИЙ УРОВЕНЬ SCADA СИСТЕМ


Виды угроз Технологии «Лаборатории Касперского»

Вирусы, трояны, эксплойты , угрозы «нулевого дня» Передовое антивирусное ядро объединяющее сигнатурные, эвристические, проактивные и облачные технологии IT-безопасности

Сетевые атаки на промышленные узлы Системы обнаружения и блокировки сетевых атак, сетевой экран

Запуск нежелательного ПО на АРМе операторов/инженеров

Контроль запуска программ на основе черных и белых списков, а также применение сценариев «Запрет по умолчанию» и «Разрешение по умолчанию»

Уязвимости в технологическом программном обеспечении

Мониторинг уязвимостей

Подключение несанкционированных устройств Контроль устройств, позволяющий ограничивать подключение устройств на основе типа, серийного номера или способа подключения устройства

Вероятность блокировки антивирусным ПО промышленного ПО

Проведение сертификации на совместимость с ведущими промышленными вендорами (Siemens, Rockwell и т.д.). Система предварительной проверки антивирусных баз

ВИДЫ УГРОЗ ДЛЯ «НИЖНЕГО» УРОВНЯ SCADA СИСТЕМ

11

US

ICS

-CE

RT (D

efe

nse

in D

ep

th): C

um

ula

tive sch

em

e

Несанкционированное изменение технологического процесса из за ошибок оператора или вредоносного воздействия

Появление несанкционированных сетевых устройств внутри технологической сети

Изменение целостности прошивок контроллеров

Сотрудники ИБ не оповещены о состоянии технологической сети


Каждая часть индустриальной системы уязвима: ПЛК, ПО, протоколы, офисное ПО, люди

НИЖНИЙ УРОВЕНЬ SCADA СИСТЕМ


Виды угроз Технологии «Лаборатории Касперского»

Несанкционированное изменениетехнологического процесса из за ошибок оператора или вредоносного воздействия

Модули контроля и мониторинга информационного взаимодействия между промышленными объектами в технологической сети

Появление несанкционированных сетевых устройств внутри технологической сети

контроль целостность вверенного участка технологической сети, позволяющий обнаруживать появление в ней новых сетевых устройств

Изменение целостности прошивок контроллеров Контроль целостности прошивок защищаемых контроллеров

Сотрудники ИБ не оповещены о состоянии технологической сети

Система мониторинга состояния технологичеких процессов

НИЖНИЙ УРОВЕНЬ SCADA СИСТЕМ


ПОДХОД «ЛАБОРАТОРИИ КАПЕРСКОГО» К ПОСТРОЕНИЮ ЗАЩИЩЕННОЙ ПРОМЫШЛЕННОЙ СЕТИ


Аудит технологической сети

Создание модели угроз, модели нарушителя и модели безопасности;

Подготовка рекомендаций по мерам физической защиты;

Определение политики информационной безопасности

Разработка рекомендаций по конфигурированию сети, устройств и ПО;

Развертывание/модернизация программно-технических средств защиты

ПРОМЫШЛЕННОЕ ЗАЩИТНОЕ ПО


Контроль запуска программ

Контроль устройств

Надежная антивирусная защита

Защита процессов SCADA

Контроль целостности проектов ПЛК

Режим высокой доступности

Политика установки обновлений

Используется в энергетике, водоснабжении, нефтегазовых отраслях…

ДАННЫЕ ПО УГРОЗАМ


«Лаборатория Касперского» предоставляет:

Публичные отчеты

Правительственные отчеты


РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ

Отчеты «по требованию»

Специальные отчеты по инцидентам и заражениям

Ранее предупреждение об угрозах

Частное расследование для КВО

Правительственные отчеты

работает на основе:

Экспертизы Global Research & Analysis Team (GReAT)

Мирового покрытия Kaspersky Security Network

сотрудничества с органами правосудия


Без-агентское исследование уязвимостей/слабостей

Аудит ИБ АСУ ТП

Эмулирование атак (красные/синие)

Анализ и актуализация моделей угроз

Honeypots

Услуги по восстановлению после атак

ОЦЕНКА ЗАЩИЩЕННОСТИ

Анализ

Тренинг по основам промышленной безопасности

Тренинг по анализу вредоносного ПО

Знание

Симуляция защиты АСУ ТП

Тренинги персонала по кибер-безопасности

Обучение инженеров:

Испытательные площадки

Группы реагирования

Безопасное окружение

Тестовые лаборатории

Аудит ИБ АСУ ТП


ТРЕНИНГИ И ОБУЧЕНИЕ

ПРЕДЛОЖЕНИЕ «ЛАБОРАТОРИИ КАСПЕРСКОГО»


1. Технологии и продукты

2. Отчеты и анализ угроз

3. Расширенные услуги по защите

4. Тренинги и обучающие программы

5. Международное и отраслевое сотрудничество

6. Методология и практика защиты АСУ ТП

Знание

Технологии

Измерение

Практика

Навыки

Регулирование

Сотрудничество Знание Защита Обнаружение Ответ Восстановление

ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ...

Business