РЕШЕНИЯ check point¢олстой/25... · АУД.5 Контроль и анализ...

©2018 Check Point Software Technologies Ltd. 1©2016 Check Point Software Technologies Ltd. ©2016 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.

по защите критическихинформационных инфраструктур

РЕШЕНИЯ CHECK POINT

Илья Анохин | Инженер по безопасности

©2018 Check Point Software Technologies Ltd. 2

Автоматизированные системы управления

… используются нами каждую секунду для повседневных вещей и операций

Автоматизация Нефть и газПромышленность

Водоподготовка Энергетика Транспорт

Управление зданиями


Факты и реальность

Май 2017 Остановка завода Dacia в Румынии на несколько дней

Ноябрь 2017 Взрыв на нефтеперерабатывающем заводе в Албании

Апрель 2018Попытка обхода защиты электростанции Орот Рабин в

Израиле


Многовекторная атака

Атака на электростанцию Орот Рабин


• Злоумышленники, используя сканер

уязвимостей, произвели сканирование

защиты периметра

• Сканирование производилось с

множества IP-адресов

• В ходе сканирования было проверено

несколько десятков распространённых

уязвимостей

• При помощи функционала IPS атака была

заблокирована

IPS

Атака на электростанцию Орот РабинСканирование уязвимостей


• Злоумышленники, используя социальные сети, выяснили, через какой сайт сотрудники

электростанции заказывали обеды

• Взлом слабозащищенного сайта компании по доставки еды

• Злоумышленники разместили на сайте вредоносный код при выполнении которого

организуется удаленный доступ к АРМ

• Сотрудники компании при посещении сайта увидели предупреждение о вредоносном коде

на сайте

• При помощи функционала Endpoint Anti-Exploit распространение зловреда было

остановлено

Anti-Exploit

Атака на электростанцию Орот РабинЗараженные веб-сайты


• Используя социальную инженерию, злоумышленники установили

личность одного из топ-менеджеров предприятия

• Используя уязвимости на личном ноутбуке топ-менеджера,

злоумышленники инфицировали ноутбук вирусом-

шифровальщиком

• Топ-менеджер принес заражённый ноутбук в периметр и

подключил его к корпоративному WI-FI

• При помощи механизмов Anti-Bot угроза была выявлена и

обезврежена

ANTI-BOT

Anti-Bot

Software Blade

Command

and Control

Атака на электростанцию Орот РабинШифрованное устройство в периметре


• Через социальные сети злоумышленники нашли несколько человек

работающих на электростанции

• Было сформировано несколько адресных электронных писем с

вредоносным вложением внутри

• Зловред предоставлял удаленный доступ к инфицированной АРМ

• При помощи механизмов SandBlast угроза была выявлена и

обезврежена

THREAT EMULATION THREAT EXTRACTION

Атака на электростанцию Орот РабинРассылка вредоносных почтовых вложений


• Злоумышленники, используя USB Rubber Ducky, подготовили

«флешку»

• ПО на USB-устройстве имитирует очень быстрый ввод клавиш с

клавиатуры

• Злоумышленники разбросали несколько «флешек» по территории

парковки у электростанции

• Сотрудник Орот Рабин, нашедший данное устройство, придя на

рабочее место попытался посмотреть, что на нём

• При помощи функционала Endpoint Media Encryption and Port

Protection предотвратил подключение нелегитимного устройства.

Атака на электростанцию Орот РабинВредоносные файлы на USB-носителях


Защита от любых векторов атак

Вектор атаки Решение Check Point

Отсутствие сегментации Межсетевое экранирование и сегментация сети

Уязвимости ПО Система предотвращения вторжений (IPS)

Вирусы и ботнеты Системы Antivirus & Anti-Bot

Шифровальщики SandBlast Anti-Ransomware

Фишинговые атаки SandBlast Emulation & Extraction

Съемные носители Набор решений Endpoint Security

Удаленные сотрудники Защищенные VPN-соединения (2FA)


Отчет ICS-CERTСамые распространенные риски 2017 года

Область Уровень Описание рисков

Сегментация сетей 1• Неавторизованный доступ к компонентам критической инфраструктуры

• Слабая или отсутствующая граница между IT-сетями и ОТ-сетями

Идентификация и

аутентификация 2• Отсутствие средств отслеживания компрометации учетных записей

• Повышенная сложность защиты учетных записей при увольнении сотрудников,

особенно сотрудников с повышенным уровнем доступа

Человеческие

ресурсы 3• Отсутствие резервного персонала для замещения ролей основного

• Снижение уровня знаний, необходимых для работы с системами управления

Физическая

безопасность 4

• Несанкционированный физический доступ повышает риски:

o добавления сторонних устройств для перехвата/перенаправления трафика

o злонамеренной модификации, удаления или копирования информации

o доступа к компонентам критической информационной инфраструктуры

o кражи или уничтожения компонентов КИИ

Управление

пользователями 5• Компрометация паролей в силу незащищенности каналов связи

• Несанкционированный доступ к компонентам критической инфраструктуры

ТРЕТИЙ ГОД ПОДРЯД!

©2018 Check Point Software Technologies Ltd.

КАКИМ ОБРАЗОМ МЫМОЖЕМ ОСТАВАТЬСЯНА ШАГ ВПЕРЕДИ УГРОЗ?


Лучшие практики защиты КИИ

Обеспечить

безопасность

IT- и OT-

окружений

Защитить корпоративную сеть

предприятия от угроз

Обеспечить четкое разделение между IT- и OT-инфраструктурами

Внедрить специализированные системы защиты для КИИ


РЕШЕНИЯ ПО ЗАЩИТЕ

критических информационных инфраструктур

CHECK POINT’S

C Y B E R D E F E N S E

Контроль

SCADA-трафика

Специализиро-

ванная защита

от угроз

Надежные

устройства для

агрессивной

среды

Анализ

событий

безопасности


Полевые устройства

Контроллеры (PLC/RTU)

Сенсоры Давление Поток Температура Напряжение Состояние

Анализ сетевого

трафика КИИ

Управляющая сеть

Центр управления

Сетевой

трафик

SCADA

Historian

Сегментация IT/OT

Уровень 0

Уровень 3

Уровень 1

Уровень 2

SCADA/HMI/DCS

Мониторинг трафика КИИ в реальном времени


• Какие устройства работают в

вашей сети?

• Каким образом эти устройства

взаимодействуют между собой и

внешним миром?

• Существуют ли ошибки

конфигурации и уязвимости?

• IP- и MAC-адреса

• Производитель устройства

• Тип устройства (PLC, HMI, рабочая

станция, коммутатор, итд)

• Модель и серийный номер

• Версия прошивки

• Протоколы и команды

• Внутрисистемные связи

• Открытые и проприетарные

протоколы

Информация

о сетиИнформация о

взаимодействииИнформация

об устройствах

Enhanced OT Visibility


Поддержка специализированных протоколов

Более 1000 SCADA и IoT команд

в Check Point Application Control

MMS

DNP3

Siemens

Step7

IEC 60870-5-104

IEC 61850

ICCP

OPC

DA & UA

Profinet

CIPIoT

MQTT MODBUS

… и другие

BACNET

Полный перечень: https://appwiki.checkpoint.com


Информация об устройстве

Детальная информация об устройстве – тип, производитель, версия прошивки и прочее


Информация об устройстве – иерархическая карта




CHECK POINT


Контроль




от угроз

Надежные



среды

Анализ

событий



Комбинированная защита

• Фаза обучения – автоматическое обнаружение устройств

• Поведенческий анализ на основе обнаружения аномалий

• Создание базисного профиля производственного процесса

• Фаза обучения – анализ сетевого трафика и логов

• Ручная конфигурация нормального режима работы

• Специализированные политики для команд и значений

• Политики на основе временных шаблонов трафика

Настраиваемые

политики

Обнаружение

аномалий

Комбинированная защита на основе

настраиваемых политик и обнаружения аномалий


Детальная информациядля расследованияинцидентов

ПОДРОБНО

СГРУППИРОВАНО

CHECK POINT SMARTLOG &

SMARTEVENT

Детальное журналирование трафика


Конфигурация политик безопасности

• Фаза обучения – журналирование всего трафика

• Создание нормального профиля трафика SCADA

• Конфигурация специализированных правил и политик

• Возможность задания пассивной (оповещение) или активной (блокировка) политики


Оповещения на базе поведенческого анализа




CHECK POINT


Контроль




от угроз

Надежные



среды

Анализ

событий



Компоненты КИИ редко обновляются


CHECK POINT

IPS

Виртуальный патчингБолее 300 специализированных IDS/IPS сигнатур

NSS Labs

Highest Rating

Защита от уязвимостей

и обнаружение

аномального трафика




CHECK POINT


Контроль




от угроз

Надежные



среды

Анализ

событий



Check Point 1200R

Температура и влажность:

• от -40 до 75°C,

• 20%-90%

Соответствует промышленным стандартам по

температуре, вибрациям, влажности и ЭМИ

Отсутствие движущихся частей

Гибкие варианты монтажа устройства

Различные опции по питанию:

• AC: 100-240V, 50 – 60 Hz

• DC: 12V-72V, -48V DC

Производительность:

49 SecurityPower1 Units

Пропускная способность МСЭ 2 Гбит/с, 1518 байт UDP

700 Мбит/c МСЭ, смешанный трафик

60 Мбит/с МСЭ и IPS, смешанный трафик

Пропускная способность VPN 450 Мбит/с

400,000 одновременных соединений

Соответствие требованиям:

IEEE 1613 , IEC 61850-3

CE, EN 55024, EN 55022

EN 61000-3, EN 61000-4

CB, IEC 60950, UL 60950


Архитектура индустриальной сети


Детальныйконтроль

Единаяполитика

Мониторингвсего

УНИФИЦИРОВАННОЕ УПРАВЛЕНИЕ

IT- и OT-окружением

Интеграция с ведущими

SIEM-системами, такими как:

ArcSight, Q-Radar, Splunk,

Predix и другие


CHECK POINT COMPLIANCE BLADE

Управление соответствием требованиям

регуляторов в реальном времени

Проверка соответствия требованиям регуляторов

СПЕЦИАЛИЗИРОВАННЫЕ ПРОВЕРКИ СООТВЕТСТВИЯ


Приказ ФСТЭК N239. Приложение. Состав мер по обеспечению безопасности ЗнО КИИ

Обозначение

и номер мерыМеры обеспечения безопасности значимого объекта

Категория значимости

3 2 1

УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем + + +

АУД.4 Регистрация событий безопасности + + +

АУД.5 Контроль и анализ сетевого трафика +

АУД.7 Мониторинг безопасности + + +

АВЗ.1 Реализация антивирусной защиты + + +

АВЗ.2 Антивирусная защита электронной почты и иных сервисов + + +

СОВ.1 Обнаружение и предотвращение компьютерных атак + +

Меры по обеспечению безопасности (I)


Приказ ФСТЭК N239. Приложение XI. Защита информационной системы и ее компонентов


и номер мерыМеры обеспечения безопасности значимого объекта

Категория значимости

3 2 1

XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.1Разделение функций по управлению (администрированию) информационной

(автоматизированной) системой с иными функциями+ + +

ЗИС.2 Защита периметра информационной (автоматизированной) системы + + +

ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы + + +

ЗИС.4 Сегментирование информационной (автоматизированной) системы + +

ЗИС.5 Организация демилитаризованной зоны + + +

ЗИС.6 Управление сетевыми потоками

ЗИС.7Использование эмулятора среды функционирования программного

обеспечения ("песочница")

Меры по обеспечению безопасности (II)


Приказ ФСТЭК N239. Приложение. XI. Защита информационной системы и ее компонентов


и номер меры

Меры обеспечения безопасности значимого объекта Категория значимости

3 2 1


ЗИС.8Сокрытие архитектуры и конфигурации информационной

(автоматизированной) системы+ + +

ЗИС.16 Защита от спама + +

ЗИС.17 Защита информации от утечек

ЗИС.18Блокировка доступа к сайтам или типам сайтов, запрещенных к

использованию

ЗИС.19 Защита информации при ее передаче по каналам связи + + +

ЗИС.20 Обеспечение доверенных канала, маршрута + + +

ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств + + +

Меры по обеспечению безопасности (III)


Приказ ФСТЭК N239. Приложение. XI. Защита информационной системы и ее компонентов


и номер меры

Меры обеспечения безопасности значимого объекта Категория значимости

3 2 1


ЗИС.23 Контроль использования мобильного кода + +

ЗИС.24 Контроль передачи речевой информации + +

ЗИС.25 Контроль передачи видеоинформации + +

ЗИС.27 Обеспечение подлинности сетевых соединений + +

ЗИС.32 Защита беспроводных соединений + + +

ЗИС.33 Исключение доступа через общие ресурсы +

ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак) + + +

Меры по обеспечению безопасности (IV)


Профилирование сетевой активности компонентов КИИ

Идентификация отклонений и атак на компоненты КИИ

Обнаружение / предотвращение атак на компоненты КИИ

Журналирование всей сетевой активности компонентов КИИ

Защита критических инфраструктур

©2018 Check Point Software Technologies Ltd. 41©2016 Check Point Software Technologies Ltd. ©2016 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.

СПАСИБО!

Илья Анохин | Check Point Russia

[email protected]

РЕШЕНИЯ check point¢олстой/25... · АУД.5 Контроль и анализ...

Documents