Решения cisco для обеспечения кибербезопасности...

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Решения Cisco для обеспечения кибербезопасности промышленных сетейАлексей ЛукацкийБизнес-консультант по безопасности20 апрель 2016 г.


Wireless MESHIndustrial WirelessWiFi

Ethernet

Fibre subringFibre backbone

Non-wired backup


Cisco IE коммутаторы: обзор портфолиоФУНКЦИИ

§ Layer 2§ Small Form Factor§ IP30 and IP67§ CC*§ DLR (only Stratix)§ Profinet MRP§ Layer 2 NAT§ IEEE 1588 PTP§ PoE/PoE+

§ Layer 2 and 3(IP services)

§ Small Form Factor§ PRP§ IEEE 1588 PTP & Power Profile

§ PoE/PoE+

Cisco® IE2000 Series

Cisco IE 2000USeries

§ Layer 2 or 3(IP services)

§ Modular§ Up to 24 ports§ IEEE 1588 PTP§ PoE/PoE+


§ 1RU§ 2 GE combo uplinks§ 8 PoE and 16 SFP or 24 copper

§ Power profile (CGS2520)

§ PoE/PoE+

Cisco IE 3000Series

Cisco IE 3010Series CiscoCGS-2520

Доступ

Лучшие в классеCisco IE 4000 Series

Агрегация

1 Gbps

§ Designed for all industries


§ 4-port GE uplinks§ Up to 20 ports GE§ IEEE 1588 PTP & power profile

§ Layer 2 NAT

§ Up to 8 PoE/PoE+

§ Dying Gasp§ TrustSec® SGT HW ready

§ MACsec § FNF HW ready§ Time Sensitive Network (TSN) HW ready

2014 Control Engineering Award

2014 Interop Tokyo

IoT Award

10/100 Mbps

‘*’ –Selected Models

Cisco IE 5000 Series

§ Designed for all industries


§ 4-port 10GE or GE uplinks

§ 24 ports GE§ IEEE 1588 PTP & power profile

§ Layer 2 NAT

§ Up to 12 PoE/PoE+§ Dying Gasp§ TrustSec® SGT HW ready

§ MACsec HW ready§ FNF hardware ready

§ Time Sensitive Network (TSN) HW ready

§ CC*10 Gbps


Точки доступа Cisco Aironet Outdoor Access Points

1530 1550H 1570

• Низкопрофильная• 11n, 2G: 3x3:3;; 5G: 2x3:2• Внутр/внеш. антенны

• Гибкая по интерфейсам подключения• 11n, 2x3:2 (Tx/Rx/SS)• Внутр/внеш. антенны

• Лучшая в семействе• 11ac, 4x4:3 (Tx/Rx/SS)• Внутр/внеш. антенны• Модули расширения

IW3700

• Компактная• 11ac, 4x4:3 (Tx/Rx/SS)• Внешние антенны


Cell/Area ZoneУровни 0-2

Индустриальнаязона

Уровень 3

Буфернаязона(DMZ)

Контроль в реальном времени

Конвергенция

Multicast Traffic

Простота использования

СегментацияМультисервисные сетиБезопасность приложений и управления

Контроль доступа

Защита от угроз

Сеть предприятияУровни 4-5

Gbps Link for Failover Detection

Firewall & IPS

Firewall & IPS

Application ServersCisco

Catalyst Switch

Network Services

Cisco Catalyst6500/4500

Cisco Cat. 3750StackWise Switch Stack

Patch ManagementTerminal ServicesApplication Mirror

AV Server

Cell/Area #1(Redundant Star Topology)

Drive

Controller

HMI Distributed I/O

Controller

DriveDrive

HMI

Distributed I/O

HMI

Cell/Area #2(Ring Topology)

Cell/Area #3(Bus/Star Topology)

Controller

Интеграция в сеть предприятияUCWirelessApplication Optimization

Web Apps DNS FTP

Internet

Identity Services Engine

Архитектура Ethernet-to-the-Factory (ETTF)


Новая сертификация CCNA Industrial

20.04.16

© 2015 Cisco and/or its affiliates. All rights reserved.

6


Cisco Connected Industries Business Unit

Ruggedized Wireless AP

IndustrialRouters & Switches

Industrial Security

Продукты в защищенном исполнении

Converged Plant

Road & Rail Network

InfrastructureMachine Builder

Connected Vehicle

Connected MachineSmart Solution

Pervasive Security

Scalable Routing

Deterministic Ethernet

Big Data Management

GuaranteedDeliveryДрайверы IoE Time

Sync

Process Mfg. Oil & Gas TransportationDiscrete

Mfg.Machine toMachine

Отрасли

ПартнерыAdvanced Services

+

Hardened Mobile M2M Gateway

Connected Vehicle


Почему нельзя начинать с продуктов?


Из чего состоит решение по защите промышленной сети?

Уровень реализации

Логический уровень

Концептуальный уровень

Люди Политики Технологии


Эталонная архитектура в ИБ промышленной сетиОбщая политика, управление и учет контекста в области IoT-безопасности

Конвергированная структура политик (IT/OT)

Управление политиками на оконечных устройствах

Управление идентификацией

Конфигурация и управление обновлениями

Инициализация

Управление учетными данными

Нормативное соответствие

AAA

Агрегация контекста и совместное использование

Облачная безопасность Защита приложений Открытые и партнерские API-интерфейсы

Обнаружение уязвимостей и вредоносного ПО

Сбор телеметрии и анализ угроз

Управление журналами/SIEM и их

сохранение

Экспертиза (напр. Что произошло?)

Мониторинг и контроль приложений IoE

с сохранением состояния

Детализованное управление доступом (Гость/подрядчик, сотрудник и вещи)

Удаленный доступ для обслуживания устройств, процессов

и систем управления

Профилирование IoT-устройств и оценка

защищенности

Аутентификация и управление ключами доступа802.1X, MAB, Гостевые

(в т.ч. устаревшие), 802.11i, 802.15.4Транспортное шифрование(802.11i, TLS, 802.1AE…)

Исследования, анализ и защита от угроз (в т.ч. в облаке)

Применение политик (Сеть)

Безопасность на транспортном уровне

Сообщество Intel

Сетевая безопасность IoT-устройств (FW/IPS/VPN)

Безопасность на физическом уровне

Обнаружение Мониторинг

РеагированиеАнализ

Безопасность устройств TPM, HSM, аттестаты безопасности, безопасное хранение

Архитектура безопасности


Смена парадигмы в кибербезопасности промышленной сети

• Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации)

• Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП


Иерархическая модель управления в промышленной сети

Зона EnterpriseMES, CRM, SCM, ERP

DMZ

Зона производстваSCADA

Cell/Area Zone

I/O, HMI, PAC/PLC

Demilitarized Zone — Shared Access

Enterprise Network Level 5

Site Business Planning and Logistics Network Level 4

Site Manufacturing Operations and Control Level 3

Area Control Level 2

Basic Control Level 1

Process Level 0


Характерные приложения и системыMES— Manufacturing Execution System измеряет и контролирует параметры производства;; отслеживает и измеряет ключевые операционные критерии, такие как продукты, оборудование, инвентарь, дефекты, задания и тд – ключевой интерфейс для систем уровня Enterprise.

Historian – Собирает исторические данные с уровня производства и производит отчеты в разных форматах. Level 3

SCADA—Supervisory Control and Data Acquisition;; Широкомасштабная распределенная система измерения и контроля, накрывает географические локации

PAC (или PLC)—Программируемый контроллер автоматики;; контролирует часть производственной ячейки, функциональную линию и связанные устройства

HMI—Human Machine Interfaces изображает операционный статус персоаналу и может предоставить бизнес-функционал (начать/остановить процесс)

I/O—Input/Output устройства;; устройств измерения или контроля ключевых функций или аспектов процесса производства;; Level 0


Уровень 5

Уровень 4

Уровень 3

Уровень 2

Уровень 1

Level 0

DMZ

Терминальные сервисы Управление патчами Антивирусныйсервер

Зеркало приложений Управление Web Серверприложений

Корпоративная сеть

Сеть логистики и бизнес-планированияE-Mail, Intranet и т.д.

Клиент

Пакетныйконтроль

Дискретныйконтроль

DriveControl

Непрерывныйконтроль

Контрользащиты

Сенсоры Моторы Исп.устройства Роботы

Серверприложений Factory Directory ПК инженера Контроллер

домена

Клиент

Operator Interface Engineering Workstation Operator Interface

WebE-MailCIP

Area SupervisoryControl

Basic Control

Process

Зоны кибербезопасности в промышленной сети

Активная защитаIPS, МСЭ, контроль приложений, безопасность контента, защита от вредоносов и т.д.

Активная защитаIPS, МСЭ, защита от вредоносного ПО и т.д.

Гибридная активная/пассивная защитаIDS, зонирование, контроль приложений, защита от вредоносного ПО и т.д.


Ключевые положения кибербезопасности промышленной сети

• Целостность и доступность промышленной сети – главные задачи!• Контроль трафика между разными уровнями промышленной сети• Недопущение прямых связей сети производства и корпоративной сетью• Ограничение real-time трафика производства зоной Manufacturing• Аутентификация и авторизация по ролям сетевого доступа к сети• Контроль доступа в промышленную сеть на коммутаторах доступа• Защита от сетевых атак, начиная с Layer 2• Защищенный удаленный доступ к промышленной сети• Соединения должны инициироваться либо из зоны Enterprise либо Manufacturing и терминироваться в DMZ, инициирование соединений из DMZ только в исключительных случаях


Cisco SAFE for PCN


Как может выглядеть архитектура промышленного предприятия?

Бесперебойность функционирования технологических процессов

Видимость приложений и протоколов, контроль доступа и управление угрозами

Работа в реальных ситуациях - Cisco Validated Design (CVD)


Архитектура ИБ производства от Cisco

WWWПриложения

DNS FTP

Интернет

Гигабитный канал для определения аварийного переключения

Межсетевой экран

(активный)

Межсетевой экран(режим ожидания)

Серверы производствен

ных приложений

Коммутатор уровня доступа

Сетевые сервисы

Коммутаторы уровня ядра

Коммутаторуровня агрегации

Управление исправлениямиСервисы для терминального оборудованияЗеркало приложенийАнтивирусный сервер

Ячейка/зона 1(Резервная топология типа «Звезда»)

Диск

Контроллер

HMI Распределенный ввод-вывод


ДискДиск

HMI

Распределенный ввод-вывод

HMI

Ячейка/зона 2(Топология типа «Кольцо»)

Ячейка/зона 3(Линейная топология)

Коммутатор уровня доступа 2


Ячейка/зонаУровни 0-2

Производственная зонаУровень 3

Демилитаризованная зонаУровень 3.5

Корпоративная сетьУровни 4-5

Усиленный межсетевой экранУсиленная система предотвращения вторжений (IPS)Удаленный мониторинг и наблюдениеУправление ПО, конфигурацией и активами

VPN и сервисы удаленного доступаМежсетевой экран нового поколенияСистема предотвращения вторжений (IPS)

Защита от угроз в облакеПрименение политик для всей сетиКонтроль доступа (на уровне приложений)

Межсетевой экран с сохранением состоянияЗащита и определение вторжений (IPS/IDS)Системы управления физическим доступом

Сервисы идентиф

икации

ISE


Cisco Connected Factory 3.5.0 – беспроводная инфраструктура

Продукты решения

Бизнес результат

Ключевые параметры

Уменьшение затрат

Factory Mobility• Mobile Controls visibility• Wireless tooling, I/O• Asset Tagging• Mobile video• Mobile Apps

• 1552 AP, 2600 AP, WLC• Stratix 5100 AP• Ent Mobility Svs Platform• IOE Site surveys

CVD от Ноября‘14Cell / Area Zone Level 0 – 2

Enterprise Zone Level 4 - 5

Industrial Zone Level 3

Industrial Demilitarized Zone

Catalyst 3750X

Catalyst4500/6500

ASA 55xx-X(Active)

ASA 55xx-X(Standby)

• Wide Area Network (WAN)• Physical or Virtualized Servers• ERP, Email• Active Directory (AD), AAA – Radius• Call Manager, etc.

Plant Firewalls:• Inter-zone traffic segmentation• ACLs, IPS and IDS• VPN Services – Remote Site Access• Portal and Terminal Server proxy

Web DNS FTP

CatalystSwitch Internet

Cisco 5500 WLC

Cisco WLCAnchor

Cisco WLC

Industrial Wireless CPWE 3.5.0

Catalyst2960-X

Catalyst2960-X

Catalyst2960-X

Catalyst2960-X

Failover

Outside

DMZ

DMZ

Inside

Active Directory Fedrated ServicesISE 34xx PAN, MnT, IPN

SiSi SiSi

Patch ManagementTerminal Services

Data ShareCisco Video Surveillance Data Share

Application ServerAV ServerFactoryTalk AssetCentre

FactoryTalk View Server, Clients & View StudioFactoryTalk Batch

FactoryTalk HistorianRSLinx Enterprise

FactoryTalk Security ServerCisco Video Surveillance Manager

1588 Precision Time Protocol ServiceActive Directory Federated Services

Remote Access ServerStudio 5000

Cisco 5500 WLC (redundancy option)

Controller

HMI

I/O I/O

WGB

I/O

Drive

WGB

Controller

I/O I/O

A P

A P

WGB

XWGB

Roaming I/OCell/Area #(Wireless Topology)

A P

A P

ISE Policy Service Node

БЛВС производства


Архитектура ИБ транспортного блока от Cisco

PTC

IPICSVSMS / VSOM

IP/MPLSДомен

UCS

WAN/ Ядро

Центр управления

Трансп. зона

Усиленный межсетевой экранУсил. система обнаружения вторжений (IDS)Удаленный мониторинг и наблюдениеУправление ПО, конфигурацией и активами

VPN и сервисы удаленного доступаМежсетевой экран нового поколенияСистема предотвращения вторжений (IPS)

Защита от угроз в облакеПрименение политик для всей средыКонтроль доступа на уровне приложений

Межсетевой экран с сохранением состоянияСистема обнаружения вторжений (IDS)Системы управления физическим доступом

Сервисы идентификации

Сети безопасности и управления процессами

Offload

VSMS

PTC 3000

TMC

ОборудованиеМультисервисные сети


Архитектура ИБ железнодорожного транспорта от Cisco


Суб-архитектуры ИБ для железнодорожного транспорта

• Конвергентная сеть в вагонах и голове состава

• Поддержка Wi-Fi

• Предоставление расширенных сервисов пассажирам

• От SDN кMPLS/IP

• Конвергентная сеть

• Высокая пропускная способность для новых приложений

• Конвергентная сеть станции

• Поддержка Wi-Fi

• Предоставление расширенных сервисов пассажирам

Решение Connected Rail© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14

1:05PM

Passenger Services Safety & Security Station Operations

PoE PoE

PoE ""

CIS SMS

Connected Train Connected Trackside Connected Station


Архитектура ИБ аэропорта от Cisco

Multitenant Network

Cisco Connected Airport – Reference Architecture (Issued V1)For More Information: Ted Nugent – BDM Aviation [email protected] Enabling Airports to Create a Sustainable Infrastructure

WAN Aggregation

Operations ControlTerminalHangar or Warehouse

Primary Data Centre

Internet EdgeTeleworker/Mobile Worker

Network Management

Freight / Cargo operations

Airport Admin/Tenants

M & E Infrastructure Passenger, Airport Staff & Airline WiFi

Cloud Services

IP Soft PhoneTelePresence MOVI Video ConferencingVirtual DesktopWAAS Mobile

Anyconnect VPN Client

Video Communication Server (VCS) Expressway

TelePresence

TelePresence

Ironport Email SecurityAnti-‐Spam, Anti-‐Virus

Data Loss Prevention (DLP)

Ironport Web SecurityAcceptable Use Policy (AUP)

Malware Prevention

IP Phone WiFi Access PointSCADA

Door Access ControlVideo Surveillance

Digital Signage

IP Video Phone WiFi Access Point

Door Access Control

Video Surveillance

TelePresence

Digital Signage

IP Video Phone WiFi Access Point

Door Access Control

Video Surveillance

ASA5500Firewall

Intrusion Prevention (IPS)Virtual Private Network (VPN)

Door Access Control

Analogue Camera

ISR G2 RouterVPN

FirewallWireless

ASR1000 RouterWebEx Node

WAN Optimisation (WAAS)

Catalyst 6500 VSSServices Layer

FirewallServer Load Balancing (ACE)

Network Application Monitoring (NAM)

Catalyst 6500 VSSCore Switch

Door Access Control

WiFi Access Point Video SurveillanceVirtual Matrix

IP Phone Console

MDS 9500SAN Switch

Storage

SAN

Unified Computing System (UCS) Blade


Nexus 5000Switch

Nexus 5000Switch


Nexus 2000Switch

Nexus 2000Switch

Nexus 7000Core/Aggregation Switch

Nexus 7000Core/Aggregation Switch

Catalyst 6500 VSSServices Layer

FirewallServer Load Balancing (ACE)

Network Application Monitoring (NAM)

MDS 9500SAN Switch

Push-‐To-‐Talk Radio (IPICS)

Digital Signage

IP Video Phone

WiFi Access Point

Door Access Control

Storage

TelePresence

Tenant 2 WiFi Access Point

Unified Computing System (UCS) Rack

Digital SignageVideo Wall

Video Surveillance



Nexus 2000Switch

Nexus 5000Switch

Door Access Control

IP Video Phone

VXC/Tablet (Virtual Desktop)


Digital SignagePC/Tablet (Virtual Desktop)

Catalyst 3850Switch ClusterPoE Energywise

Catalyst 6500 VSSCore Switch

Wireless LANController

(Guest Access)

Video Surveillance

TelePresence

Tenant 1WiFi Access Point

Door Access Control

IP Video Phone


Video Surveillance

TelePresence

Tenant 1 WiFi Access Point

Tenant 2

IP Video Phone


Video Surveillance

WiFi Access Point

Door Access Control

IP Video Phone Digital Signage

PC/Tablet (Virtual Desktop)

Video Surveillance

BuildingManagementSystem (BMS)HVAC/Lights

HypervisorNexus 1000v

Virtual Machines

HypervisorNexus 1000v

Virtual Machines

HypervisorDesktop Virtualisation

Software

Virtual MachinesCommunication Manager (CUCM)Unity Connection

(CUC)

Jabber (Presence)

Contact Centre (UCCX)

Meeting Place

Attendant Console

OS

OS

OS

OS

OS

OS

Digital Media Manager (DMM)Show & Share

Server

Webex Social

Network Management

TelePresence Ctrl Server (TCS)

TelePresence Manager (TMS)

OS

OS

OS

OS

OS

OS

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

WAN Optimisation (WAAS)

Wireless LANController

IPICS Server

Physical Access Manager (PAM)

Video Surveillance Operations ManagerVideo Surveillance

Media Server (VSMS)

Mobility Services Engine (MSE)

Media Exchange Engine (MXE)

Video Comms Server (VCS)

PSTNISR G2

PSTN GatewayVoice/Video DSPPrime

Cisco Security Manager (CSM)

Data Centre Network Manager (DCNM)

Network Control Systems (NCS)

LAN Management System (LMS)

Identity Service Engine (ISE)

Network Analysis Module (NAM)

Collaboration Manager (CM)

Fibre Channel over Ethernet (FCoE)Fibre Channel Storage Links

Ethernet


Rugged Mobile Computer Connected Field Staff

Cisco Connected Airport – Reference Architecture © Copyright 2011-‐13 Cisco Systems, Inc. All Rights Reserved.

Industrial Ethernet via Cisco Rugged Switches and Routers (CGS-‐2520, IE2000, CGR-‐2010) support SCADA communications through hierarchical segmentation. This results in reduced cost and complexity with increased efficiency, scale, resilience, policy enforcement and defence-‐in-‐depth security.

The quality and collaboration capabilities of TelePresence are far beyond typical Video Conferencing. The realism and quality enhances the communication value of meetings enabling users to catch every comment and nuance of the conversation. At the same time, Rail Infrastructure Managers can save money, time and energy wherever it is used.

Standards based Wireless Mesh via the Cisco Field Area Router (FAR) supports connectivity of sensors for pro-‐active monitoring, control and general telemetry of the Network. Data can be collected and processed locally on the router enabling distributed intelligence. Secure wireless access for field staff ensures “always-‐on” network connectivity.

Cisco Video Surveillance solutions use the IP network to deliver and receive live and recorded video surveillance media. The IP cameras are feature-‐rich digital cameras that enable surveillance in a wide variety of environments available in standard and high definition; wired and wireless offering efficient network utilisation while providing high-‐quality video.

Virtual Desktop Infrastructure (VXI) centralises employee desktops, applications and data in the data centre. It provides unprecedented control of the desktop and laptop environment and helps IT to secure compute, network and data resources. VXI frees end users from the constraints of a specific device and reduces long-‐term costs by simplifying management of the desktop environment.

Cisco Physical Access Control is a cost-‐effective IP-‐based solution that uses the IP network for integrated security operations. It works with existing card readers, locks and biometric devices and is integrated with Cisco Video Surveillance and IP Interoperability and Collaboration System (IPICS) for a comprehensive, holistic enterprise-‐wide safety and security solution.

Cisco Digital Media Suite (DMS) enables companies to learn, grow, communicate and collaborate through webcasting and video sharing, digital signage and business IP TV applications. DMS allows quick and effective display of information include training for live/on-‐demand video broadcasts, emergency messaging, schedules and news; extending the overall reach of corporate communications.Cisco Voice and Unified Communications develops interactive collaboration by combining all forms of business communications into a single, unified solution, it will help employees, customers, supplies and partners to communicate with each other, quickly and easily without obstacles.

Cisco Security solutions protect assets and empowers the workforce. Context-‐aware

security provides high level intelligence, policy governance, and enforcement capabilities.

Significantly enhancing the accuracy, effectiveness, and timeliness of any

organisation's security implementation.

The Mobile TeleWorker gains flexibility and productivity. Cisco delivers a suite of teleworking solutions with a cost-‐effective approach that preserves business security and agility, increases productivity, and reduce costs by continuously connecting the TeleWorker, anytime, from every location at home or on the road.

Cloud Services can offer savings in IT resources such as computing storage and application services. “The Cloud” can provide theses services as elastic resources that are suitable for use in existing or new applications without a large investment in capital resources and ongoing maintenance costs. WebEx delivers online meetings and easy-‐to-‐use web collaboration tools to the entire workforce. Scansafe keeps malware off the corporate network and more effectively controls and secures web usage.

Cisco Unified Fabric Data Centre provides flexible, agile, high-‐performance, non-‐stop operations; self-‐integrating information technology, reduced staff costs with increased uptime through automation, and more rapid return on investment. It accelerates virtualisation and enables automation to extend the lifecycle of mission-‐critical resources to support evolving needs. Rail companies can reduce their total cost of ownership (TCO) and increase business agility—both critical to combating the server sprawl and inefficiency inherent in many data centres today.

Wide Area Application Services (WAAS) is a comprehensive WAN optimization solution that accelerates applications over the WAN, delivers video to the branch office, and provides local hosting of branch-‐office IT services. Cisco WAAS allows IT departments to centralize applications and storage in the Data Centre while maintaining LAN-‐like application performance.

IP/MPLS in the WAN enables converged secure link virtualisation. It reduces overall costs by supporting multiple logical networks across a single physical infrastructure.

Physical Security

ASR 1000 Router ASR 1000 Router

Enterprise Content Delivery Sys (EDCS)

TPresence Multipoint Control Unit (MCU)

Mobile PhoneAnyconnect VPN Client

Internet

CGR-‐2010 Rugged

Router with VPN/

Firewall

Fire service

Gatelink

Mobile Workfo

rce

IP Phone

IE2000

MPLS Layer

Optical Layer

P Router

PE Router

Operational Network

Facilities Management

Voice Services

RTU

PMR &Tetra

Catalyst 3850

Video Gateway

IP CameraVehicle/Passenger Tracking

Mast

Retail

Passenger services

Customer Information Screens

Help-‐point Phone

Telephony

Security Systems

Video Surveillance

InternetAccess

GPRS/3G/LTE

VG350IP PhoneIP Phone IP Phone

CGS-‐2520Rugged Switch

RTU

BuildingManagementSystem (BMS)HVAC/Lights


Runway lighting Maintenance Passenger services Operations

Analogue Camera

IP Phone

Video Gateway

IP Camera

Mast

ISR G2 Router

IPICS


IPICSIPICS

Kiosks

Mast

NAV Aids

ISR/3850

MET

819 Router

GPRS/3G/LTE


Control points

IP Camera

IP Phone

819 Router

ISR G2 Router

RTU

Baggage Handling

IP CameraWiFi Access Point

RFID Tag

Check-‐in





Digital Signage

BMS HVAC/Lights

RFID TagASR 9000

Bus

Field Area M2M Router3G/LTE

Vehicule tracking

Field Area M2M Router3G/LTE Vehicule tracking

Barcode Readers

PublicAnnoucement

Catalyst 3850 ISR G2 RouterISR G2 Router

Catalyst 3850

Fire/Rescue

Ambulance

Barcode Readers

Tenants and Airlines

ISR G2 Router(WAAS, VPN)

ISR G2 Router(WAAS)

WiFi Access PointIP Video Phone

PC/Tablet (Virtual Desktop)

Catalyst 3850

Outdoor WirelessMesh

Fire/Rescue

ISR/3850ISR/3850ISR/3850

WiFi Access Point

GSECargo


Как может выглядеть архитектура цифровой подстанции с учетом требований регуляторов?

Сегментирование сети и определение области для аудита

Видимость приложений и протоколов, контроль доступа и управление угрозами

Работа в реальных ситуациях - Cisco Validated Design (CVD)


Сеть агрегации FANЗОНА 2

Мультисервисная шинаЗОНА 3

Сеть NERC CIPЗОНА 1

Сеть подстанций

Станционная шина IEC 61850

Шина процессов IEC 61850

Архитектура ИБ цифровой подстанции от Cisco

Физическая безопасность

Взаимодействие с сотрудниками

Серийные, C37.94, E&M

Периметр электронной безопасности (ESP)

PT ПрерывательCT CTPT

Периметр физической безопасности (PSP)

ПрерывательIEDMU

РаспределенныйконтроллерHMI

УстаревшаяRTU

PT CT

АппаратныйI/O

Сенсор

УстаревшеерелеРТЗ

Прерыватель

Частный WiMax или LTE для полевой сети

Точка электронного доступа

Аренд. транспорт пост. услуг Частн. энерг. б/п сеть MPLS/IP

Центр управлениядоступом

ДМЗЦентр

обработкиданных

HMISCADA FEPEMS

CPAMVSOM

Аналитикаист. данныхSIEMPACS

ACSCALDAP

HMI

Контроллерсоединения RTU Защитное

релеПроцессор

коммуникацийPMUPDC

РелеРТЗ


Управление ибезопасностьУровень 1

УстройствоУровень 0

ЦентруправленияУровень 3

УстаревшаяRTU

Сети безопасности и управления процессами Мультисервисные сети

Ист. данные HMI

Отсек питания

Безопасность

Процесс

Питание

Процесс

Контроллер Контроллер Контроллер

Серийные и неразъемные соед.

Ethernet-процессыEthernet-мультисервисы

WANБеспроводн. соед.

ТранспортRFID

SIEM

Сенсор Движок Клапан Драйвер Насос Прерыватель Мониторпитания

Стартер Выключатель

Системы

безопасности

Принтер

Оборудование

SIEMСистема SCADAГоловная станция

Рабочие станцииоператора и разработчика

Сервер автоматизации процессов системы

SIEM

SIEM

Обработка и распред. ист. данных

Серверы приложений

Операционныебизнес-системы

SIEM

SIEM

SIEM

Надежность ибезопасность

Система управленияпроизводством (MES)

SIEM

SIEMРаспределенная система управления (DCS)

SIEM

SIEM

Контроллердоменов

Корп. сетьУровни 4-5

Ист. данныеSIEM

Анти-вирус

WSUS

SIEM

SIEMСервер удаленнойразработки

SIEM

Сервертерминального оборудования

SIEMДМЗ

Уровень 3.5

Телекоммуникации на операционном уровне

Беспроводн. сети

Интернет

КонтрольУровень 2

Системы видеонаблюдения

Контрольдоступа

Голос

Мобильные сотрудники

Беспроводн. сенсор


Сенсор Выключатель

Безопасность

Архитектура ИБ нефтеперерабатывающего завода от Cisco


CorporateISP

BRAS

Voice

PLCPLC RT I/O

Архитектура ИБ нефтедобывающей компании от Cisco

Периметр

Транспортная сеть

Ядро сети

Скважина БуроваяMobile Field Connectivity

Micro Seismic Applications

RF-ID Asset TrackingOperational Video Surveillance

Real Time Control

Transparent QoS TaggingLow Latency – Low Jitter

Gigabit Data Capacity BackboneEnd-to-End Oil Field Coverage

IE-3000L-3 Switch

RDL-3000mNomadic Radio

IE-3000L-3 Switch

Elte-MTATEX-2 Radio

RDL-3000Base Station

RDL-5000PTP-Microwave

Сервера управления

IE 3000Industrial Switches

NetworkServices

Subsurface Modeling

Video Management ServerCollaboration Server

Routing & QoS Definitions

Operations and Control

M2MI/O Server

Corp VPN

ASR-1000 ASA-5500Switch

Network Security

RDL-3000Base Station

1552EWi-Fi AP

RF-ID MobileWorkers

VoIPVideoSurveillance

HMIRTU Real Time

I/O Controller

VideoSurveillance

Access Control

NMS/EMS

Cisco Video Surveillance MGR

Cisco Unified Comms Server

Cisco Wireless Controller


SCAD

A"&"Ope

ra?o

nal"

Busin

ess"S

ystems"

Physical"Security

"

Wire

less"

Voice"&"Incide

nt"

Respon

se"

Indu

stria

l"DMZ"

Control$Cen

tre$(xN)$

Network"

Services"

Process,"Safety,"Pow

er"

Mul?service"

Fog"Co

mpu

te"

The$Secure$Pipeline$

Level$0$

Level$1$

Level$2$

Level$2.5$

Physical$Security$Opera3ons$Mgr$

SIEM

SIEM

SIEM

SIEM

Physical$$Access$Mgr$

Video$$Surveillance$Mgr$

Incident$$Response$

WLAN$Controller$

Call$$Manager$

Voicemail$Mobility$&$Tracking$

Applica3ons$

SIEM

Engineer$Worksta3ons$

Metering$

SCADA$Primary$

Energy$Mgt$

Historian$

Repor3ng$Operator$Worksta3ons$

SIEM

SIEM

SIEM

SIEM SIEM

SIEM

SCADA$Backup$

SIEM

SIEM

Remote$Access$

Patch$Mgt$

An3\virus$

NonNWired"WAN"3G/LTE,"Satellite,"WiMAX,"RF"Mesh,""

Microwave"

Virtua

lized

$

SIEM

RTU/Controller$

Wireless$AP$ Wireless$AP$Wireless$AP$Stra3x$Switches$ Stra3x$Switch$

Radio$

Mobile$Worker$

Voice$

CCTV$&$Access$Control$

RFID$

Fog$Node$

Master$MTU$

Level$3$&$3.5$

Level$4$&$5$

Enterprise"WAN"

Leak"Detec?on" Pipeline"Op?miza?on"Batch"Management" Physical"Security" Mobility"Industrial"Wireless" Analy?cs"Voice"&"Video"Metering"

Visualiza?on" Asset"Management"Historian" Opera?ons"Intelligence"Condi?on"Monitoring" Energy"Management" Collabora?ve"Workspace"

Asset"&"People"Tracking"

Op?miza?on" Security"

WAN$&$Security$

Office$

Domain$

Internet"3rd$Party$

Compressor(/(Pum

p(Sta9

on(

Meter/PIG/Terminal(Sta9o

n(

Block(Va

lve(Sta9

on(

Instrumenta3on$

WAN$&$Security$WAN$&$Security$ WAN$&$Security$

Instrumenta3on$ Instrumenta3on$ Instrumenta3on$

Stra3x$Switch$

Wired"WAN"Ethernet,"DWDM,"MPLS"

WAN,$Security,$&$Op3miza3on$

SIEM

Alarm$Mgt$

Batch$Control$

SIEM

SIEM

Ethernet"Serial"WiFi"

Industrial"Wireless"

RTU/Controller$

Instrumenta3on$

Stra3x$Switches$

Instrumenta3on$

RTU/Controller$RTU/Controller$ RTU/Controller$

Архитектура ИБ трубопровода от Cisco и RockwellСовместная функциональная архитектура целостной трубопроводной инфраструктуры.

§Гибкий, модульный подход, подерживающий этапную трансформацию Нефте-Газового трубопровода

§Виртуализация контрольной комнаты

§Конвергентное WAN операционное взаимодействие

§Проводные и беспроводные сети трубопровода

§Интегрированные мульти-Сервисные системы

§IEC 62443 / ISA99 Модель безопасности


SIEM

Process'Control' Power'Management' Safety'Systems'

Compressor'/'Pump'Sta7on'

Mul7service'Domain'Sta7on'WAN'&'Security'

Process'Domain'

Metering'/'PIG'Sta7on'

Metering'

PIG'System

s'

Gas'Q

uality'

Mul7service'Domain'Sta7on'WAN'&'Security'

Process'Domain'

SCADA'&'Opera7onal'Business'Systems!SIEM

Engineer'Worksta7ons'

Applica7on''Servers'

Domain''Controller'

Instrumenta7on' Instrumenta7on' Instrumenta7on' Instrumenta7on'

Quantum' Quantum' MiCom'c264'

SIL3!Controller! SIL3!Controller!

GTW' RI/O' GTW' RI/O!

Historian' Operator'Sta7on'

Historian' PACIS'Operator''

Historian' Operator'Sta7on'

HMI'

Ethernet'Network' Ethernet'Network' Safe'Ethernet'Network'

Ethernet'Network''Safe'Ethernet'Network'

Wireless'AP'

Mobile!Worker!

IP!Voice!

Access'Control'

CCTV'

RFID!

Ethernet'Network'

Wireless'AP'

Mobile!Worker!

IP!Voice!

Access'Control'

CCTV'

RFID!

Ethernet!Network!

Wireless!AP!

Controller' Controller' Controller'

Ethernet'Network'

Historian' Historian' Historian'

HMI' HMI'

Router' Firewall' Switch' Router' Firewall' Switch'

Converged'OT'&'IT'Opera7onal'Field'Telecoms'

SCADA''Primary'

RAS''

Leak''Detec7on'

Physical'Security'

Operator'Worksta7ons'

SCADA''Backup'

Training'Server'

Historian'

Repor7ng'

Metering''Systems'

Main'Control'Center'

Video''Opera7ons'

Access''Opera7ons'

Video''Storage'

Incident''Response'

IP/Ethernet'

DWDM'

IP/MPLS'

(virtua

lized

/non

/virtua

lized

)1

(virtua

lized

/non

/virtua

lized

)1

Backup'Control'Center'

MCC

'WAN

'&'Security

'

BCC'WAN

'&'Security

'

Mul7service'Domain'

Mobile!Worker!

IP!Voice!

Access'Control'

CCTV'

RFID!

Ethernet'Network'

Wireless'AP'

Process'Domain'

Router'Firewall'

Switch'

Sta7on'WAN'&'Security'

Block'Valve'Sta7on'

Quantum'

Instrumenta7on'

Centralized'Opera7ons' Office'/'Business'Domain' Internet'Edge'Internet' 3rd'Party'

Support'

Voice'

Wireless'

WLAN'Controller'

Call'Manager'

Voicemail'

Engineer'Worksta7ons'

Applica7on''Servers'

Domain''Controller'

SCADA''Primary'

Leak''Detec7on'

Operator'Worksta7ons'

SCADA''Backup'

Historian'

Repor7ng'

Metering''Systems'

Incident''Response'

(virtua

lized

/non

/virtua

lized

)1

(virtua

lized

/non

/virtua

lized

)1

Wireless'

WLAN'Controller'

Call'Manager'

Voicemail'

SCADA'&'Opera7onal'Business'Systems! Physical'Security' Voice'

Magelis'

ION'Metering'

SEPAM'Protec7on'

TeSys'T'Motor'Mgt'

Al7var'Drive'

MiCOM'Feeder''

Protec7on'

Magelis'

Video''Opera7ons'

Access''Opera7ons'

Video''Storage'

(Red

unda

nt1

Op5

ons)1

(Red

unda

nt1

Op5

ons)1

(Red

unda

nt1

Op5

ons)1

SIEM SIEM

SIEM SIEM SIEM

Switch'

SIEM SIEM SIEM SIEM

SIEM SIEM SIEM SIEM SIEM

SIEM SIEM

SIEM SIEM

SIEM SIEM SIEM SIEM SIEM SIEM SIEM

SIEM SIEM SIEM SIEM SIEM SIEM

RI/O!

ScadaPack'

SIL3'Op7on'No'SIL'Op7on'

Wireless!opAon!

3G/LTE,'WiMax'900Mhz'RF'Mesh'

Satellite,'Microwave'

ROADM' ROADM' ROADM'

Crew!Welfare!/!Infotainment!

SIEM

IDMZ'

TIming'Server'

SIEM

AAA'

TIming'Server'RAS''

SIEM

SIEM

AAA'

WAN'Networks'

IDMZ'

Архитектура ИБ трубопровода от Cisco и SchneiderСовместная функциональная архитектура целостной трубопроводной инфраструктуры.

§Гибкий, модульный подход, подерживающий этапную трансформацию Нефте-Газового трубопровода

§Виртуализация контрольной комнаты

§Конвергентное WAN операционное взаимодействие

§Проводные и беспроводные сети трубопровода

§Интегрированные мульти-Сервисные системы

§IEC 62443 / ISA99 Модель безопасности


BigЛогическая структура промышленной сети в контексте ИБ

Зона DMZ регламентирует доступ между Enterprise и Manufacturingзонами.


DMZ #1 Реплики Historian

DMZ #2Управление патчами

DMZ #NТерминальных серверов

Уровень 4,5 Корпоративная сеть

Уровень 3 - Производственная площадка

Функциональные зоны

Граница соединения

Запрет прямых соединений

Зонирование и внутри DMZ


В данном примере данные собираются и передаются в бизнес систему в Enterprise зоне

Данные не хранятся и не используются в зоне Manufacturing, таким образом отказ зоны DMZ не влияет на процесс производства

Данные IACS должны буфферизоваться на тот случай если не будет связи с DMZ.

Потоки трафика в зоне DMZ


Топологии и внедрение зоны DMZ

МСЭ предприятия должен работать в HA режиме Active/Active либо Active/Standby

Рекомендуется топология с двумя МСЭ, данное разделение в том числе позволяет разным организациям контролировать потоки данных между зонами

DMZ <-> Manufacturing и DMZ <-> Enterprise

Рекомендуемые уровни безопасности:


1) Использовать стандартный Enterprise уровня удаленный доступ IPSEC с аутентификацией через Radius.

2) Ограничить возможность удаленных пользователей соединяться к DMZ только через HTTPS.

3) Соединиться с порталом в DMZ https.4) Установить VPN сессию через SSL и ограничить

использование приложений, например только RDP до терминального сервера.

5) Использовать IPS/IDS системы для отслеживания атак и червей от удаленных пользователей.

6) Ограничить количество терминальных приложений, которые пользователь может запустить, иметь систему аутентификации/авторизации каждого приложения.

7) Ограничить количество доступных функций в приложении для пользователя.

8) Выделить сервер удаленного доступа в отдельный VLAN и убедиться в прохождении его трафика через Firewall и IPS/IDS.

Пример работы удаленного доступа


Где найти вертикальную специфику?

www.cisco.com/go/industry


Где найти описание архитектур, включая ИБ?

www.cisco.com/go/cvd www.cisco.com/go/safe


Продукты по промышленной ИБ


Безопасность промышленных сетей от Cisco

IE Portfolio

ISEIR Portfolio 3000 and 6000 Series WDR IP Cameras

ASA H ICPAM Physical Access Control

OT-centricSecurity

IoT Network As a Sensor and Enforcer

IoTPhysical Security

Fog Data Services

ISA 3000

IoT Security Services


Безопасность – это часть промышленных сетевых устройств

Функции

Cisco® IE2000 Cisco IE2000U Cisco IE3000 Cisco IE4000

LAN Lite (Layer 2 Lite)

LAN Base (Layer 2)

Enhanced LAN Base

(Layer 2)

LAN Base(Layer 2) IP Services LAN Base

(Layer 2)IP Services(Full Layer 3)

LAN Base (Layer 2)

IP Services(Full Layer 3)

Layer 2 Features P R R R R R R R R

IPv6 O P P P P P R P R

Security P R R R R R R R R

QoS O P P R R R R R R

Multicast P P P P P P R R R

Manageability R R R R R R R R RUtility Enhancements O O O R R O O R R

IE Enhancements P R R P P R R R R

Layer 3 Features O P P P P P R P R

ФункцииLAN Lite

(Layer 2 Lite)LAN Base (Layer 2)

Enhanced LAN Base

(Layer 2)LAN Base(Layer 2) IP Services LAN Base

(Layer 2)IP Services(Full Layer 3)

LAN Base (Layer 2)

IP Services(Full Layer 3)

IE2000 IE2000U IE3000 IE4000R Full support P Limited features support O No supportLegend:


BigИспользование управляемых коммутаторов

Преимущества

• Возможность диагностики• Функции безопасности• Сегментация сети• Предотвращение петель, отказоустойчивость• Приоритезация промышленного трафика• Precise time synchronization (e.g. PTP)• Улучшенные контроль, диагностика, настройка•Управление multicast трафиком

Недостатки

• Дороже• Требует настройки


ResiliencyProtocol

Mixed Vendor Ring Redundant

StarNet Conv>250 ms

Net Conv50-100 ms

Net Conv> 1 ms Layer 3 Layer 2

STP (802.1D) X X X X

RSTP (802.1w) X X X X X

MSTP (802.1s) X X X X X

PVST+ X X X X

REP X X X

EtherChannel(LACP 802.3ad) X X X X

Flex Links X X X

DLR(IEC & ODVA) X X X X

StackWise X X X X X

HSRP X X X X

GLBP X X X X

VRRP(IETF RFC 3768) X X X X X

Отличия протоколов для корпоративного и промышленного применения

Net Conv: Network Convergence

Процессы и информация

Критичные к задержкам

Движение


Ключ к решениям Cisco по ИБ


Мы должны сегментировать промышленную сеть

Взгляд со стороны инфраструктуры

Это буква «В»в модели BDA (выстраивание

системы отражения вторжений)

ДОКонтроль

Применениеполитик

Сдерживание


Взгляд со стороны эксплуатации

Не забывать про непрерывность защиты

Это буквы «D» и «А»модели BDA

(выстраивание системы реагирования на инциденты)

Обнаружение Блокировка Защита

ВО ВРЕМЯ ПОСЛЕОхват

ИзоляцияУстранение


Обзор решений Cisco по безопасности АСУТП

§ Cisco ASA Firewall для сегментации (и в промышленном исполнении)

§ Cisco FirePower NGIPS с набором сигнатур для промышленных систем

§ Cisco AMP for Endpoints для защиты от Malware угроз и угроз нулевого дня с ретроспективным анализом

§ Cisco AnyConnect для контроля доступа и оценки состояния NAC

§ Cisco ISE для идентификации и контроля доступа устройств и обнаружении неавторизованных подключений, оценка состояния и управление доступом.

§ Cisco Trustsec и VRF-lite – создание виртуальных сегментированных топологий с сервисами сквозной авторизации

§ Cisco Cyber Threat Defense (CTD)


VPN

VDI

WSA

IPS

NGFW

FW

ISE

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Level 3½

Enterprise Zone

DMZ

PCD / Manufacturing Zone

PCN /Cell / Area Zone

?

?

Компоненты Cisco для защиты индустриальной сети


Потребность в специализированных МСЭ/IPS

Для промышленного применения, АСУ ТП, подстанций и т.п. требуется небольшой, монтируемый DIN-rail-type форм-фактор, способный работать в экстремальной окружающей среде


Пассивная защита в промышленной сети

Сложности Ответ Cisco

• Пассивное профилирование сети• Отсутствие задержек между устройствами и системами, требующими реального времени• «Белые списки» ожидаемого, предупреждения по аномалиями

• ICS означают статичность, но часто нет возможности проверить это • ICS построены с минимальным объемом системных ресурсов• Типичные ИТ-методы идентификации устройств могут привести к выходу из строя индустриальные системы


Новые модели Cisco ASA with FirePOWER Services

Desktop Model IntegratedWireless AP

Выше производительность Для АСУ ТП

100% NGFW -поставляется с AVC

Wi-Fi может управляться локально или через

Cisco WLC

1RU;; новая платформа –лучшее сочетание цены и производительности

NGFW для критичных инфраструктур и

объектов

5506-X 5506W-X 5508-X5516-X

5506H-X

Идеальна для

заменыCisco®ASA 5505


«Настольная» модель Cisco ASA 5506-X

7.92 x 8.92 x 1.73 in.

Параметр Значение

CPU Многоядерный

RAM 4 Гб

Ускоритель Да

Порты 8x GE портов данных, 1 порт управления с10/100/1000 BASE-T

Консольный порт RJ-45, Mini USB

USB-порт Type ‘A’ supports 2.0

Память 64-GB mSata

Охлаждение Convection

Питание AC external, No DC


Cisco ASA 5506H-X в защищенном исполнении

*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:

9 x 9.2 x 2.5 in.

Параметр Значение

Порты 4 x портов данных

Управление 1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP

Напряжение 5V (*** 5506 is 12V)

Диапазон температур От –20 до 60°C (рабочий)От -40 до 85°C (обычный)

Монтаж Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount


Специальные сертификаты на Cisco ASA 5506H-X

Сертификаты соответствия

9 x 9.2 x 2.5 in.

IP40 per IEC 60529KN22IEC 61850-3IEC 61000-6-5IEC 61000-5IEC 611000-4-18IEEE 1613.1IEEE C62.412IEC 1613IEC 61850-3IEC 60068-2


Промышленный МСЭ/IDS Cisco ISA 3000


Основные характеристики Cisco ISA 3000

§ Производительность: 2 Gbps

§ Кол-во IPSec/SSL VPN: 25

§ IPv4 MAC Security ACE: 1000

§ Кол-во интерфейсов: 4x1GE или 2xGE, 2xFiber (SFP)§ Медный: 4x10/100/1000BaseT

§ Оптический: 2x1GbE (SFP), 2x10/100/1000BaseT

§ 4 ядра Intel Rangely, SSD 64 GB

§ 8 GB DRAM, 16 GB Flash

§ Питание DC

§ Исполнение: -40C до 60C без обдува;; -40C до 70C с 40LFM;; -34C до 74C с 200LFM


Тип Стандарт

EMI /EMC Key standards

v EN-61850-3 / IEEE1613 (Power Substation)v EN 50155, EN 50121-4, EN 50121-3-2 (Railway)v EN 60945 / IEC 60533 (Marinev EN 61131-2 (Industrial Controls)v EN 61326 (Electrical Controls)v EN 61000-4-2 (Electro Static Discharge), 8KV Air / 15KV contactv EN 61000-4-3 (Electro Magnetic field, 10 and 20V/m)v EN 61000-4-4 (Fast Transients – 4 KV power line, 4 KV, data linev EN 61000-4-5 (Surge- 4 KV/2 KV)v EN 61000-4-6 (Conducted Immunity, 10V / emf)v EN 61000-4-8 (Power Frequency MFI 40A / m, 1000A / m (1s))v EN 61000-4-9 (Pulse MFI ) v EN 61000-4-10 (Oscillatory Magnetic Field Immunity)v EN 61000-4-11 (AC power Voltage Immunity) – AC PS (50 ms)v EN 61000-4-17 (Ripple on DC power port- for DC PS only)v EN 61000-4-29 (Voltage Dips Immunity- 10ms hold up time)v EN 61000-6-2 (Immunity for Industrial Environments)v EN 61000-6-4 (Emissions for Industrial environments)v EN 61000-6-1 (Immunity for Light Industrial Environments)

Промышленные сертификации


Варианты внедрений

§ Вне полосы§ Видимость§ Ограничено воздействие на трафик

§ В полосе§ Видимость§ Возможность блокировать атаки


Защитный функционал ASA 5506H-X / ISA 3000

Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений

Система гранулярного мониторинга и контроля приложений (Cisco® AVC)

Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER

Фильтрация URL-адресов на основе репутации и классификации

Система Advanced Malware Protection с функциями ретроспективной защиты

Система управления уязвимостями и SIEM

Cisco ASA

VPN и политики аутентификации

Фильтрация URL-адресов(по подписке)

FireSIGHTАналитика и автоматизация

Advanced Malware Protection

(по подписке)

Мониторинг иконтроль приложенийМежсетевой экран

Маршрутизация и коммутация

Кластеризация и высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI

Встроенное профилирование сети

Предотвращение вторжений (по подписке)


Поддержка промышленных протоколов


§ Препроцессоры для промышленных протоколов, например, для Modbus, DNP3

§ Возможность написания собственных сигнатур

§ Свыше сотни встроенных сигнатур

CitectSCADAOMRON

Kingview

IGSS

Tecnomatix

RealWin IconicsGenesis

Siemens

IntelliCom

Cogent

RSLogixDAQFactory

Beckhoff

Measuresoft

ScadaPro

BroadwinProgea Movicon

Microsys

Sunway

Moxa

GESielcoScadaTecSinapsiDATAC

WellinTech

Tridium

Schneider Electric

CODESYS

Отражение атак на промышленные системы


Множество встроенных сигнатур и правил корреляции(1:29202) PROTOCOL-SCADA Modbus read coil status response - too many coils(1:29203) PROTOCOL-SCADA Modbus read fifo response invalid byte count(1:29204) PROTOCOL-SCADA Modbus read holding register response - invalid byte count(1:29205) PROTOCOL-SCADA Modbus read input registers response invalid byte count(1:29206) PROTOCOL-SCADA Modbus read write register response - invalid byte count(1:29317) PROTOCOL-SCADA Modbus invalid exception message(1:29318) PROTOCOL-SCADA Modbus invalid encapsulated interface response(1:29319) PROTOCOL-SCADA Modbus invalid encapsulated interface request(1:29505) PROTOCOL-SCADA IGSS dc.exe file execution directory traversal attempt(1:29515) PROTOCOL-SCADA ScadaTec Procyon Core server password overflow attempt(1:29534) PROTOCOL-SCADA CODESYS Gateway-Server invalid memory access attempt(1:29954) PROTOCOL-SCADA CODESYS Gateway-Server heap buffer overflow attempt(1:29959) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime stack buffer overflow attempt(1:29960) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt(1:29964) PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime directory traversal attempt(1:15071) PROTOCOL-SCADA Modbus exception returned(1:15074) PROTOCOL-SCADA Modbus user-defined function code - 65 to 72(1:15075) PROTOCOL-SCADA Modbus user-defined function code - 100 to 110(1:15389) PROTOCOL-SCADA OMRON-FINS memory area write attempt(1:15390) PROTOCOL-SCADA OMRON-FINS memory area fill attempt(1:15391) PROTOCOL-SCADA OMRON-FINS memory area transfer attempt(1:15713) PROTOCOL-SCADA DNP3 device trouble(1:15714) PROTOCOL-SCADA DNP3 corrupt configuration(1:15715) PROTOCOL-SCADA DNP3 event buffer overflow error(1:15716) PROTOCOL-SCADA DNP3 parameter error(1:15717) PROTOCOL-SCADA DNP3 unknown object error(1:15718) PROTOCOL-SCADA DNP3 unsupported function code error(1:15719) PROTOCOL-SCADA DNP3 link service not supported(1:17782) PROTOCOL-SCADA Modbus write multiple registers from external source(1:17783) PROTOCOL-SCADA Modbus write single register from external source(1:17784) PROTOCOL-SCADA Modbus write single coil from external source(1:17785) PROTOCOL-SCADA Modbus write multiple coils from external source(1:17786) PROTOCOL-SCADA Modbus write file record from external source(1:17787) PROTOCOL-SCADA Modbus read discrete inputs from external source(1:17788) PROTOCOL-SCADA Modbus read coils from external source(1:17789) PROTOCOL-SCADA Modbus read input register from external source(1:17790) PROTOCOL-SCADA Modbus read holding registers from external source(1:17791) PROTOCOL-SCADA Modbus read/write multiple registers from external source


Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Unauthorized communications with HMI

Сигнатура alert tcp192.168.0.97 any <> ! [192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone other than PLC or RTU -NOT ALLOWED"; priority:1; sid:1000000; rev:1;)

Резюме Попытка неавторизованнои системы подключиться к HMI

Воздеиствие Компрометация системы

Информация

Подверженные системы PLC;RTU;HMI;DMZ-Web


Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Unauthorized to RTU Telnet/FTP

Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2; reference:DHSINLroadshow- IDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;)

Резюме Узел в контролируемои ЛВС попытлся подключиться к RTU Telnet-серверу

Воздеиствие СканированиеКомпрометация системы управления


Подверженные системы RTU


Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Yokogawa CENTUM CS 3000 stack buffer overflow attempt

Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET 20171 (msg:"SCADA Yokogawa CENTUM CS 3000 stack buffer overflow attempt";; flow:to_server,established;; content:"|64 A1 18 00 00 00 83 C0 08 8B 20 81 C4 30 F8 FF FF|";; fast_pattern:only;; metadata:policy balanced-ips drop, policy security-ips drop;; reference:cve,2014-0783;; reference:url,www.yokogawa.com/dcs/security/ysar/YSAR-14-0001E.pdf;; classtype:attempted-admin;; sid:30562;; rev:1;; )

Резюме Вызов переполнения буфера для извлечения команд привилегированного режима

Воздеиствие Извлечение неавторизованных команд

Информация http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2014-0783

Подверженные системы Yokogawa CENTUM CS 3000 R3.09.50


Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt

Сигнатура alert tcp $EXTERNAL_NET any -> $HOME_NET [2308,50523] (msg:"PROTOCOL-SCADA Siemens SIMATIC WinCC flexible runtime DoS attempt";; flow:to_server,established;; content:"|00 04 03|";; depth:3;; byte_test:4,>,0x410,23,little;; isdataat:1025;; reference:cve,2011-4877;; reference:url,www.exploit-db.com/exploits/18166/;; classtype:attempted-admin;; sid:29963;; rev:1;; )

Резюме Атака отказа в обслуживание, недоступность оборудования, останов тех. процесса

Воздеиствие Отказ в обслуживании

Информация www.exploit-db.com/exploits/18166/

Подверженные системы Siemens SIMATIC PCS


Сигнатуры для АСУ ТП – можно и самостоятельноID сигнатурыСообщение Modbus TCP -Unauthorized Write Request to a PLC

Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502 (flow:from_client,established;; content:”|00 00|”;; offset:2;; depth:2;; pcre:”/[\S\s]3(\x05|\x06|\x0F| \x10|\x15|\x16)/iAR”;; msg:”Modbus TCP – Unauthorized Write Request to a PLC”;; reference:scada,1111007.htm;; classtype:bad- unknown;; sid:1111007;; rev:1;; priority:1;;)

Резюме Неавторизованныи Modbus-клиент попытался записать информацию на PLC или иное устроиства

Воздеиствие Целостность системы Отказ в обслуживании


Подверженные системы PLC и другие устроиства с Modbus TCP сервером


Подрядчик

Когда Что Где Как

9:00-17:00 ноутбук Ячейка 1 Проводн.

Традиционный RBAC и политики

HMIRockwell Automation

Stratix 8000Коммутатор доступа уровня 2

Ввод-вывод


Диск

Ячейка/зона 1

Ввод-вывод

HMI


Volt

PTP

Коммутатор уровня доступа 2

иПротокол REP

Ячейка/зона 2

Роль Авторизация

Контр. Ячейка 2:Разр. CIPРазр. httpЯчейка 1:Запрет

IED IED

Заводская шина

IED IED

Шина процессов

Завод

Операции SCADAинж

АКТИВЫинж

Планиро-ваниеинж

Удаленное управление

R

Подтв. авар. сигн. RТочечная разметка RТочка ручного обновл.

R

Откр/Закр HMI R R RВыход HMI R R R

Мониторинг и контроль операцийВозможности для инноваций

ISE + промышл. коммутаторыОтслеживание

Безопасный доступ для локальных пользователей


Безопасный доступ для локальных пользователей

Сеть доступа


Мультисервисная шинаПроизводственная сетьПолевая сетьБуровая площадкаТрансп. зонаУмные города

Беспроводная IPS

OMSdACLVLAN

Тег группы безопасности

XРоль ИТ-персонал Поставщик

Когда 9:00-17:00 ВТ

Что Ноутбук Ноутбук

Где Центробработкиданных

Трансп. зона

Как Wi-FiПроводн.

Wi-FiПроводн.

Аутенти-фикация

КамерыIP-телефоны

WWW

Согласованная политикадоступа


Мониторинг и контроль доступа устройств и механизмов• Безопасность портов и централизованное управление• Реестр сетевых индустриальных систем• Идентификация и профилирование IoT-устройств

IoT-сети

Соотв. MAC

MACIP

ACL

00:00:23:67:89:ab 10.1.1.1 ABB Сайт1

dc:05:75:92:cd:bd 10.1.2.3 Siemens Сайт2

e4:90:69:34:9d:ab 10.1.2.5 Rockwell Сайт3

Контроллер CIP ABB Сайт1

RTU DNP Siemens Сайт1

IED Modbus Rockwell Сайт2

HMI OCP GE Сайт2

CAУправл.

Реестр — номер 1 среди 20 критических методов управления безопасностью

Сенсор IoT-устройств(в будущем)

802.1xКлиент


Политики ИБ дляпромышленной сети


Системные исправления

Сегментациясети

Антивирусная защита

Реагированиена инциденты

Проактивный мониторинг

Мониторинг безопасности

IPS /сигнатуры

Защитаот угроз

Аварийноевосстановление

Резервное копирование

и восстановление

Непрерывноесовершенствование

Организация Стабилизация Обнаружение РеагированиеЗащита

Белые и черные списки Черные списки

Сбор и управление журналами безопасности

Обнаружениеаномалий

Обнаружениевредоносного

ПО

Обнаружение вторжений

Политика безопасности

Виртуализация

Шифрование

KPI и аналитика

Учет местонахождения

Реестр процессов

Оценка

Управление изменениями

Обучение и пониманиеПанели

управления и отчеты

Фокус на ключевых векторах атаки в рамках сети управления процессами за счет организации необходимого контроля при помощи лучших современных практик в области безопасности

Доступ и управление PCN


Промышленныебеспроводные

сети

Безопасность портативныхустройств

До Во время После

ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ

Защищенноехранилище

Реестр и управление активами




Разработка политик по ИБ для промышленной сети


Управление промышленной ИБ


Системные исправления


Антивирусная защита

Реагированиена инциденты

Проактивный мониторинг

Мониторинг безопасности

IPS /сигнатуры

Защитаот угроз

Аварийноевосстановление

Резервное копирование

и восстановление

Непрерывноесовершенствование

Организация Стабилизация Обнаружение РеагированиеЗащита

Белые и черные списки Черные списки

Сбор и управление журналами безопасности

Обнаружениеаномалий

Обнаружениевредоносного

ПО

Обнаружение вторжений

Политика безопасности

Виртуализация

Шифрование

KPI и аналитика

Учет местонахождения

Реестр процессов

Оценка

Управление изменениями

Обучение и пониманиеПанели

управления и отчеты

Фокус на ключевых векторах атаки в рамках сети управления процессами за счет организации необходимого контроля при помощи лучших современных практик в области безопасности



Промышленныебеспроводные

сети

Безопасность портативныхустройств

До Во время После

ПЛАНИРОВАНИЕ СОЗДАНИЕ ВЫПОЛНЕНИЕ МОНИТОРИНГ УПРАВЛЕНИЕ


Реестр и управление активами




Управление ИБ с помощью Cisco Secure Ops


Архитектура Cisco SecureOps

Server

Firewall

Switch

RouterHypervisor

Identity Services

Patching

Anti-Virus

AAA/TACACS

ComplianceReporting

ProactiveMonitoring

NetworkHealth

Dashboard

Active Directory

Terminal Services

Log Collection

Servers

Firewall

SecureCenter(Ops or Data Center)

SecureSite(Substation, Rig, Plant Floor)

Hypervisor

Asset Inventory

Patching

Anti-Virus

Proactive Monitoring

Event Log Collection

Secure File DeliveryВладеет или управляет Cisco

Гибкий provisioning

Одна или несколько площадок

Обеспечение SLA’s


Иные ИБ-сервисы


А также тесты на проникновения и аудиты промышленных сетей

Device Security Security Hardware Hardware Security Software Security

Moving Target Security Cryptography Penetration Testing Operational Security


Аутсорсинг ИБАнализ угроз

Operations

Продукты по ИБ Архитектура ИБ

Исследования Консалтинг«Разведка»

И иные сервисы ИБ


Соответствиетребованиям


Приказ ФСТЭК 31 по защите АСУ ТП

• 31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

• Все новые и модернизируемые системы должны создаваться по новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и последующих годовВ тех случаях, если КСИИ управляют технологическими процессамиОстальные типы КСИИ продолжают подчиняться требованиям ФСТЭК к ключевым системами информационной инфраструктуры


Отличия в оценке соответствия

Особенность Приказ 21 Приказ 17 Приказ 31Оценка соответствия В любой форме (нечеткость

формулировки и непонятное ПП-330)

Только сертификация в системах сертификации ФСТЭК или ФСБ

В любой форме (всоответствии с ФЗ-184)

Аттестация Коммерческий оператор -на выбор оператораГосоператор - аттестация

Обязательна Возможна, но не обязательна

Контроль и надзор Прокуратура – всеФСТЭК/ФСБ – только госоператоры (РКН не имеет полномочий проверять коммерческих операторов ПДн)

ФСТЭК ФСБ и ФОИВ, ответственный за безопасность КИИ (определяется в настоящий момент)


~600 ФСБ НДВ 34 123Сертификатов ФСТЭК на

продукцию Cisco

Сертифицировала решения Cisco

(совместно с С-Терра СиЭсПи)----

Ждем еще ряд важных анонсов

Отсутствуют в ряде продуктовых линеек Cisco

----На сертификацию поданы новые продукты

Линейки продукции Cisco

прошли сертификацию по схеме «серийное производство»

Продуктовых линеек Cisco

сертифицированы во ФСТЭК

Сертификация решений Cisco по требованиям ИБ


Первые в РФ сертификаты ФСТЭК на промышленные МСЭ


Резюме


Архитектура ИБ Cisco


Cisco IoT System Security в действии

Подрядчик пытается

вывести из строя АСУ ТП на подстанции

Защита на базе контекста предотвращает ущерб

системе

АСУ ТП защищена


Как мы соответствует требованиям регуляторов?

• Решения Cisco позволяют выполнить многие требования приказа ФСТЭК 31 по защите автоматизированных систем управления технологическими процессами

• Эти решения могут быть применены как в самом промышленном сегменте, так и на стыке с корпоративной сетью или Интернет


Дополнительная информация

Раздел «Брошюры» на сайте www.cisco.ru


Дополнительная информация

• Converged Plant-Wide Ethernet DIG

• Planning for a Converged Plant-wide Ethernet

Architecture – ARC Group

• Secure Wireless Plant

• Industrial Intelligence Architecture

• Securing Manufacturing Computer and

Controller Assets

• Achieving Secure Remote Access to Plant Floor

Applications


Пишите на security-[email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/


Благодарюза внимание

Решения cisco для обеспечения кибербезопасности...

Technology