ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ...
TRANSCRIPT
ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУРКонстантин Каманин, Руководитель направления защиты КВО
СЕКТОРЫ КРИТИЧЕСКИ ВАЖНОЙ ИНФРАСТРУКТУРЫ
• Энергетика• Транспорт• Водоснабжение• Пищевая пром-ть• Коммуникации• Экстренные службы• Финансовые услуги• Правительство• Здравоохранение
• Энергетика• Химическое произв-во• Коммерческие центры• Ядерные объекты• Транспортные системы• Водоснабжение(отведение)• Критическое производство• Дабмы• Производство для армии• Пищевая промышленность• Экстренные службы• Коммуникации• Финансовые услуги• Государственные ресурсы• Здравоохранение• Информационные
технологии
Промышленная безопасность
2 Critical Infrastructure Protection scope
ПРОМЫШЛЕННЫЕ СИСТЕМЫ УЯЗВИМЫ
3
US
ICS
-CE
RT (D
efe
nse
in D
ep
th): C
um
ula
tive sch
em
e
Работают по 5-10 лет без обновления При разработке про ИБ не думали
Пока нет «промышленных» средств ИБ Анти-вирус отсутствует или выключен
Compliance – это не безопасность Защиты периметра недостаточно Вредоносное ПО попадает внутрь Сотрудники – самое слабое звено
защиты
Critical Infrastructure Protection scope
Каждая часть индустриальной системы уязвима: ПЛК, ПО, протоколы, офисное ПО, люди
4
ПОДХОД К ПРОМЫШЛЕННОЙ БЕЗОПАСНОСТИ
Critical Infrastructure Protection scope
Офисная ИБ – защита данных
Промышленная ИБ – защита Процесса
Производственный процесс д.б. непрерывным, и только потом - защищенным
Corporate network
1. Доступность
2. Целостность
3. Конфиден-циальность
1. Конфиден-циальность
2. Целостность
3. Доступность
ЧТО ЗАТРУДНЯЕТ ЗАЩИТУ КВО?
5
Недостаточная осведомленность, смесь слухов и реальности, недостаток данных
Информационные системы в промышленности:• Старые
• Незащищенные
• С трудом поддаются обновлению
Типовые «офисные» средства ИБ не подходят
Недостаток навыков ИБ, и обще-принятой практики ИБ АСУ ТП
Critical Infrastructure Protection scope
Атакующие:
Уязвимости хорошо известныБольшинство информации об уязвимостях открыто и опубликовано независимыми исследователями
Эксплойт создать - дешево
Продать эксплойт - дорого$80,000 за уязвимость нулевого дня
Готовый рынокКаждый желающий может купить
Защищающиеся:
Атаки – успешные или нет – широко не освещаются
Сообщения могут вызвать панику“Атака на SCADA” ноябрь 2011 – ошибочное сообщение об атаке на станцию водоснабжения
US-ICS CERT публикует только те уязвимости, для которых уже есть патч
“Back Doors” для целей отладки ПО объявляются возможностями, хотя представляют собой серьезную уязвимость
ТЕАТР ВОЕННЫХ ДЕЙСТВИЙ
Threat landscape6
Реальны, постоянны, мало-известныСложно разделить шум, слухи и точные данные
Угрозы исходят от всехГосударства, Криминал, Хактивисты, Дети
Эшелонированные смешанные группы
И простые, и сложные (Advanced Persistent Threats)
Шпионаж часто – первая стадия атаки
Многоходовые направленные атаки
Или созданные всего за 1-2 недели
УГРОЗЫ ПРОМЫШЛЕННЫМ СИСТЕМАМ
Threat landscape7
ПРЕДЛОЖЕНИЕ «ЛАБОРАТОРИИ КАСПЕРСКОГО»
8 Kaspersky Lab Strategy
1. Технологии и продукты
2. Отчеты и анализ угроз
3. Расширенные услуги по защите
4. Тренинги и обучающие программы
5. Международное и отраслевое сотрудничество
6. Методология и практика защиты АСУ ТП
Знание
Технологии
Измерение
Практика
Навыки
Регулирование
Сотрудничество Знание Защита Обнаружение Ответ Восстановление
ТЕХНОЛОГИИ «ЛК» ДЛЯ ЗАЩИТЫ ПРОМЫШЛЕННОЙ СЕТИ
9 Kaspersky Lab Strategy
Разные уровни предприятия, разные виды угроз
Корпоративная сеть
Верхний уровень SCADA систем – АРМ инженеров, SCADA система, системы хранения данных и т.д.
Нижний уровень SCADA систем – PLC, промышленные протоколы, объекты управления
ВЕРХНИЙ УРОВЕНЬ SCADA СИСТЕМ
10 Kaspersky Lab Strategy
Виды угроз Технологии «Лаборатории Касперского»
Вирусы, трояны, эксплойты , угрозы «нулевого дня» Передовое антивирусное ядро объединяющее сигнатурные, эвристические, проактивные и облачные технологии IT-безопасности
Сетевые атаки на промышленные узлы Системы обнаружения и блокировки сетевых атак, сетевой экран
Запуск нежелательного ПО на АРМе операторов/инженеров
Контроль запуска программ на основе черных и белых списков, а также применение сценариев «Запрет по умолчанию» и «Разрешение по умолчанию»
Уязвимости в технологическом программном обеспечении
Мониторинг уязвимостей
Подключение несанкционированных устройств Контроль устройств, позволяющий ограничивать подключение устройств на основе типа, серийного номера или способа подключения устройства
Вероятность блокировки антивирусным ПО промышленного ПО
Проведение сертификации на совместимость с ведущими промышленными вендорами (Siemens, Rockwell и т.д.). Система предварительной проверки антивирусных баз
ВИДЫ УГРОЗ ДЛЯ «НИЖНЕГО» УРОВНЯ SCADA СИСТЕМ
11
US
ICS
-CE
RT (D
efe
nse
in D
ep
th): C
um
ula
tive sch
em
e
Несанкционированное изменение технологического процесса из за ошибок оператора или вредоносного воздействия
Появление несанкционированных сетевых устройств внутри технологической сети
Изменение целостности прошивок контроллеров
Сотрудники ИБ не оповещены о состоянии технологической сети
Critical Infrastructure Protection scope
Каждая часть индустриальной системы уязвима: ПЛК, ПО, протоколы, офисное ПО, люди
НИЖНИЙ УРОВЕНЬ SCADA СИСТЕМ
12 Kaspersky Lab Strategy
Виды угроз Технологии «Лаборатории Касперского»
Несанкционированное изменениетехнологического процесса из за ошибок оператора или вредоносного воздействия
Модули контроля и мониторинга информационного взаимодействия между промышленными объектами в технологической сети
Появление несанкционированных сетевых устройств внутри технологической сети
контроль целостность вверенного участка технологической сети, позволяющий обнаруживать появление в ней новых сетевых устройств
Изменение целостности прошивок контроллеров Контроль целостности прошивок защищаемых контроллеров
Сотрудники ИБ не оповещены о состоянии технологической сети
Система мониторинга состояния технологичеких процессов
НИЖНИЙ УРОВЕНЬ SCADA СИСТЕМ
13 Kaspersky Lab Strategy
ПОДХОД «ЛАБОРАТОРИИ КАПЕРСКОГО» К ПОСТРОЕНИЮ ЗАЩИЩЕННОЙ ПРОМЫШЛЕННОЙ СЕТИ
14 Kaspersky Lab Strategy
Аудит технологической сети
Создание модели угроз, модели нарушителя и модели безопасности;
Подготовка рекомендаций по мерам физической защиты;
Определение политики информационной безопасности
Разработка рекомендаций по конфигурированию сети, устройств и ПО;
Развертывание/модернизация программно-технических средств защиты
ПРОМЫШЛЕННОЕ ЗАЩИТНОЕ ПО
15 Kaspersky Lab Strategy
Контроль запуска программ
Контроль устройств
Надежная антивирусная защита
Защита процессов SCADA
Контроль целостности проектов ПЛК
Режим высокой доступности
Политика установки обновлений
Используется в энергетике, водоснабжении, нефтегазовых отраслях…
ДАННЫЕ ПО УГРОЗАМ
16 Kaspersky Lab Strategy
«Лаборатория Касперского» предоставляет:
Публичные отчеты
Правительственные отчеты
17 Kaspersky Lab Strategy
РАССЛЕДОВАНИЕ ИНЦИДЕНТОВ
Отчеты «по требованию»
Специальные отчеты по инцидентам и заражениям
Ранее предупреждение об угрозах
Частное расследование для КВО
Правительственные отчеты
работает на основе:
Экспертизы Global Research & Analysis Team (GReAT)
Мирового покрытия Kaspersky Security Network
сотрудничества с органами правосудия
18 Kaspersky Lab Strategy
Без-агентское исследование уязвимостей/слабостей
Аудит ИБ АСУ ТП
Эмулирование атак (красные/синие)
Анализ и актуализация моделей угроз
Honeypots
Услуги по восстановлению после атак
ОЦЕНКА ЗАЩИЩЕННОСТИ
Анализ
Тренинг по основам промышленной безопасности
Тренинг по анализу вредоносного ПО
Знание
Симуляция защиты АСУ ТП
Тренинги персонала по кибер-безопасности
Обучение инженеров:
Испытательные площадки
Группы реагирования
Безопасное окружение
Тестовые лаборатории
Аудит ИБ АСУ ТП
19 Kaspersky Lab Strategy
ТРЕНИНГИ И ОБУЧЕНИЕ
ПРЕДЛОЖЕНИЕ «ЛАБОРАТОРИИ КАСПЕРСКОГО»
20 Kaspersky Lab Strategy
1. Технологии и продукты
2. Отчеты и анализ угроз
3. Расширенные услуги по защите
4. Тренинги и обучающие программы
5. Международное и отраслевое сотрудничество
6. Методология и практика защиты АСУ ТП
Знание
Технологии
Измерение
Практика
Навыки
Регулирование
Сотрудничество Знание Защита Обнаружение Ответ Восстановление