1

Разведка угроз промышленных предприятий

Антон Шипулин CISSP, CEH, CSSAМенеджер по развитию решений по безопасности критической инфраструктурыЛаборатория Касперского

2

ОБНАРУЖИТЬ И ПРЕДОТВРАТИТЬ БЕДУПОКА НЕ СТАЛО СЛИШКОМ ПОЗДНО

• Угрозы внутри• Угрозы на пороге• Зарождение угрозы

3

ОТСУТСТВИЕ МОНИТОРИНГА ПРОМЫШЛЕННЫХ СЕТЕЙ

https://www.sans.org/reading-room/whitepapers/analyst/2016-state-ics-security-survey-37067

4

СУТЬ ПРОЦЕССА РАЗВЕДКИ УГРОЗ

321

Сбор данных об угрозах с внешних

источников

Обработка и анализ данных

Подготовка релевантных результатов

5

ИСТОЧНИКИ ДАННЫХ ОБ УГРОЗАХ

• IRC каналы• Threat фиды других сервисов• Депозитарии кода (GitHub, Exploit-db, …)• Хакерские форумы (deep, dark web)• Репутационные базы/сервисы (Kaspersky Security Network, …)• Публичные сервисы (социальные сети, новостные ресурсы, …)• Специальные поисковые системы (Shodan, Сensys, Vulners, …)• Базы уязвимостей (ICS-CERT, CVE, …)• Сенсоры, honeypots (Conpot, GasPot, GridPot …)

…

6

НОВОСТИ / ИНЦИДЕНТЫ

7

ИЗМЕНЕНЕНИЯ ГОСУДАРСТВЕННОМ УРОВНЕ

Указ Президента РФ от 31 декабря 2015 "О Стратегии национальной безопасности Российской Федерации"…43. Основными угрозами государственной и общественной безопасности являются:…деятельность террористических и экстремистских организаций, направленная на … уничтожение или нарушение функционирования военных и промышленных объектов, объектов жизнеобеспечения населения, транспортной инфраструктуры, устрашение населения, в том числе путем … нарушения безопасности и устойчивости функционирования критической информационной инфраструктуры Российской Федерации;

МЧС России "Прогноз чрезвычайной обстановки на территории Российской Федерации на 2016 год" от 24. 12. 2015 г…Кибертерроризм. Учитывая, что в настоящее время уровень информационной безопасности не соответствует уровню угроз в данной сфере, в 2016 году возможно повышение возможных хакерских атак с целью создания условий для возникновения техногенных ЧС. Из промышленных объектов наиболее уязвимы при хакерских атаках энергетические и коммуникационные сети России

8

ТЕРРОРИЗМ

http://icitech.org/wp-content/uploads/2016/06/ICIT-Brief-The-Anatomy-of-Cyber-Jihad1.pdf

9

HONEYPOTS

10

SHODAN

11

РЕЛЕВАНТНЫЕ РЕЗУЛЬТАТЫ

https://www.cpni.gov.uk/Documents/Publications/2015/11-June-2015-Threat%20Intelligence%20-%20Infographic.pdf

Стратегические разведданные

Операционные разведданные

Непрерывное предоставление отфильтрованных и подготовленных данные об угрозах под профиль и характеристики организации

• Глобальные/индустриальные тренды

• Новые уязвимости в АСУ ТП

• Новые уязвимости в смежных системах

• Новые инструменты атак

• Вид организации снаружи

• Рекомендации по повышению уровня защищенности

• Рекомендации по новым инструментам защиты

• Информация об обновлениях промышленных систем

• Индикаторы компрометации (IOC)

12

ПРИМЕР РЕЗУЛЬТАТА

https://securelist.ru/analysis/obzor/28866/industrial-cybersecurity-threat-landscape/

13

ПОВЕРХНОСТЬ АТАКИ

https://icsmap.shodan.io/

14

THREAT INFORMATION SHARING

“one organization’s detection to become another’s prevention”

“Обнаружение в одной компании становится предотвращением в другой”

15

16

17

 INFORMATION SHARING AND ANALYSIS CENTER

● Automotive (Auto-ISAC)● Aviation (A-ISAC)● Defense Industrial Base (DIB-ISAC)● Emergency Services (EMR-ISAC)● Electricity (E-ISAC)● Maritime Security ISAC● National Health (NH-ISAC)

● Nuclear (NEI)● Oil and Gas (ONG-ISAC)● Public Transit (PT-ISAC)● Supply Chain (SC-ISAC)● Surface Transportation (ST-ISAC)● Water ISAC (Water-ISAC)● Industrial Control System (ICS-ISAC)

http://www.nationalisacs.org/member-isacs

18

ГОССОПКА

19

ПРОМЫШЛЕННЫЙ CERT "ЛАБОРАТОРИИ КАСПЕРСКОГО"

http://kommersant.ru/doc/3077603

20 http://www.itsec.ru/newstext.php?news_id=111706

21

ПП РФ ОТ 02.10.2013 Г. N 861 "ОБ УТВЕРЖДЕНИИ ПРАВИЛ ИНФОРМИРОВАНИЯ СУБЪЕКТАМИ ТЭК ОБ УГРОЗАХ СОВЕРШЕНИЯ И О СОВЕРШЕНИИ АКТОВ НЕЗАКОННОГО ВМЕШАТЕЛЬСТВА НА ОБЪЕКТАХ ТЭК"

22

МОТИВАЦИЯ

Не найдется ли у вас времени поделиться информацией с вашим локальным ведомством и ISAC?

• Угроза наказания / Поощрение и помощь

• Бюрократия / Удобство • Отдавать / Получать выгоду• Конфиденциальность / Доверие• Много/ Мало

23

Д - ДОВЕРИЕ

https://twitter.com/beerisac

24

САМОДЕЯТЕЛЬНОСТЬ

25

ВЫВОД

• Мониторинга много не бывает• Используйте сервисы разведки• Делитесь информацией с выгодой

26

Вопросы?

Антон Шипулин

CISSP, CEH, CSSAМенеджер по развитию

решений по безопасности

критической инфраструктуры

Лаборатория КасперскогоМосква, Ленинградское шоссе, д.39А, стр.3

Т: (495) 797 8700 #1746

Anton.Shipulin@kaspersky.com

www.kaspersky.ru