Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

4 сценария мониторинга ИБ изолированных промышленных площадок

Презентация для SOC Forum 2021 с кратким обзором подходов к мониторингу ИБ изолированных от внешнего мира промышленных площадок

1 of 20
Download to read offline
Алексей Лукацкий Бизнес-консультант по безопасности alukatsk@cisco.com Как мониторить ИБ изолированной от внешнего мира производственной площадки? 4 практичных сценария
Программа ‣ Нюансы мониторинга изолированных от внешнего мира сред ‣ Чем нам помогут злоумышленники? ‣ Выгрузка телеметрии ‣ Локальный мини-SOC ‣ Однонаправленные МСЭ ‣ Подход C-Bridge
3 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Миф об изолированности
4 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Желание мониторинга изолированных промышленных площадок
5 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Получая данные об уязвимостях и событиях
6 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Чем нам могут помочь злоумышленники? • Отчет ESET с анализом 17 семейств вредоносных программ, попавших в изолированные от внешнего мира сети - USBStealer, Stuxnet, Flame, Gauss, USBFerry, Brutal Kangaroo, PlugX, Ramsay и т.п. • Все используют USB для заражения и слива данных из изолированных сетей
7 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №1 Выгрузка данных на USB и загрузка их на платформу SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Интеграция в централизованный SOC • Недостатки - Необходима локальная система консолидации событий безопасности для централизованного сбора всех событий ИБ - Снижение оперативности
8 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Понимает ли SOC-платформа промышленные протоколы?
9 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №2 Локальный мини-SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Оперативность анализа • Недостатки - Отсутствие централизованного сбора и корреляции всех событий ИБ между площадками и офисными сетями
10 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сбор событий безопасности внутри изолированной площадки
11 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Коммерческие решения по мониторингу угроз Cisco Cyber Vision Claroty PT ISIM
12 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • Кластер контейнеров Docker под разные задачи системы • Анализ PCAP или данных от Zeek (бывшая Bro) • Визуализация данных с помощью Kibana • Поиск и анализ сетевых сессий • Базируется на open source Malcolm или что-то аналогичное на базе open source https://github.com/Information-Warfare-Center/CSI-SIEM/
13 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №3 Однонаправленный МСЭ • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками • Недостатки - Фактически нарушается требование изолированности - Отсутствует функция реагирования - Необходимость понимания всех циркулируемых протоколов для их передачи на платформу SOC (или консолидация)
14 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №4 Подход C-Bridge • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками - Мобильность • Недостатки - Фактически нарушается требование изолированности
15 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • В дополнение к межсетевому экранированию: • Предотвращение вторжений • Песочница • Генерация несемплированного Netflow и передача в NDR • Мониторинг DNS • Сканер уязвимостей • DLP-функциональность (при необходимости) • Сбор Syslog • Мониторинг промышленных протоколов • Система коммуникации (4G/5G) с защитой канала связи (VPN) Программные компоненты C-Bridge
16 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Наполнение C-Bridge • Стойка может быть высотой до 20 RU • Сейчас стойка заполнена на 16 RU с дополнительными (запасными) 4 RU • 4 RU для IT-наполнения, 12 RU для целей безопасности и мониторинга
17 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Физическая безопасность C-Bridge • Два набора замков (внутри + снаружи) на внутренней и внешней «дверцах» C-Bridge • Закрытые двери не мешают работать с проводами для их подключения к сети и питанию • После подключения внешняя дверца может быть оставлена открытой для обеспечения вентиляции
18 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Создание многоуровневой архитектуры C-Bridge : • Малая: 2RU = ISR4451 с модулем Etherswitch, FTD для ISR (UCS-E) и UCS-E для CSIRT VMs, до ~300Mbps • Средняя: 3RU = ISR4451 с модулем коммутации и 2x UCS-E для CSIRT VMs + ASA5555X-FTD, до ~600Mbps • Большое: стандартное решение на ½ стойки C-Bridge, 1Gbps+ Облегченная версия C-Bridge ß vs à
19 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public В качестве резюме Универсального решения не существует • Локальный мониторинг без какой-либо централизации • Передача собранной телеметрии ИБ на флешке • Передача в одном направлении через однонаправленные МСЭ • Использование подхода C- Bridge
alukatsk@cisco.com

More Related Content

4 сценария мониторинга ИБ изолированных промышленных площадок

  • 1. Алексей Лукацкий Бизнес-консультант по безопасности alukatsk@cisco.com Как мониторить ИБ изолированной от внешнего мира производственной площадки? 4 практичных сценария
  • 2. Программа ‣ Нюансы мониторинга изолированных от внешнего мира сред ‣ Чем нам помогут злоумышленники? ‣ Выгрузка телеметрии ‣ Локальный мини-SOC ‣ Однонаправленные МСЭ ‣ Подход C-Bridge
  • 3. 3 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Миф об изолированности
  • 4. 4 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Желание мониторинга изолированных промышленных площадок
  • 5. 5 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Получая данные об уязвимостях и событиях
  • 6. 6 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Public Чем нам могут помочь злоумышленники? • Отчет ESET с анализом 17 семейств вредоносных программ, попавших в изолированные от внешнего мира сети - USBStealer, Stuxnet, Flame, Gauss, USBFerry, Brutal Kangaroo, PlugX, Ramsay и т.п. • Все используют USB для заражения и слива данных из изолированных сетей
  • 7. 7 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №1 Выгрузка данных на USB и загрузка их на платформу SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Интеграция в централизованный SOC • Недостатки - Необходима локальная система консолидации событий безопасности для централизованного сбора всех событий ИБ - Снижение оперативности
  • 8. 8 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Понимает ли SOC-платформа промышленные протоколы?
  • 9. 9 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №2 Локальный мини-SOC • Преимущества - Отсутствие необходимости нарушать изолированность сети - Оперативность анализа • Недостатки - Отсутствие централизованного сбора и корреляции всех событий ИБ между площадками и офисными сетями
  • 10. 10 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сбор событий безопасности внутри изолированной площадки
  • 11. 11 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Коммерческие решения по мониторингу угроз Cisco Cyber Vision Claroty PT ISIM
  • 12. 12 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • Кластер контейнеров Docker под разные задачи системы • Анализ PCAP или данных от Zeek (бывшая Bro) • Визуализация данных с помощью Kibana • Поиск и анализ сетевых сессий • Базируется на open source Malcolm или что-то аналогичное на базе open source https://github.com/Information-Warfare-Center/CSI-SIEM/
  • 13. 13 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №3 Однонаправленный МСЭ • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками • Недостатки - Фактически нарушается требование изолированности - Отсутствует функция реагирования - Необходимость понимания всех циркулируемых протоколов для их передачи на платформу SOC (или консолидация)
  • 14. 14 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Сценарий №4 Подход C-Bridge • Преимущества - Высокий уровень защищенности - Оперативность анализа - Корреляция событий между площадками - Мобильность • Недостатки - Фактически нарушается требование изолированности
  • 15. 15 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public • В дополнение к межсетевому экранированию: • Предотвращение вторжений • Песочница • Генерация несемплированного Netflow и передача в NDR • Мониторинг DNS • Сканер уязвимостей • DLP-функциональность (при необходимости) • Сбор Syslog • Мониторинг промышленных протоколов • Система коммуникации (4G/5G) с защитой канала связи (VPN) Программные компоненты C-Bridge
  • 16. 16 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Наполнение C-Bridge • Стойка может быть высотой до 20 RU • Сейчас стойка заполнена на 16 RU с дополнительными (запасными) 4 RU • 4 RU для IT-наполнения, 12 RU для целей безопасности и мониторинга
  • 17. 17 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Физическая безопасность C-Bridge • Два набора замков (внутри + снаружи) на внутренней и внешней «дверцах» C-Bridge • Закрытые двери не мешают работать с проводами для их подключения к сети и питанию • После подключения внешняя дверца может быть оставлена открытой для обеспечения вентиляции
  • 18. 18 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public Создание многоуровневой архитектуры C-Bridge : • Малая: 2RU = ISR4451 с модулем Etherswitch, FTD для ISR (UCS-E) и UCS-E для CSIRT VMs, до ~300Mbps • Средняя: 3RU = ISR4451 с модулем коммутации и 2x UCS-E для CSIRT VMs + ASA5555X-FTD, до ~600Mbps • Большое: стандартное решение на ½ стойки C-Bridge, 1Gbps+ Облегченная версия C-Bridge ß vs à
  • 19. 19 © 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public В качестве резюме Универсального решения не существует • Локальный мониторинг без какой-либо централизации • Передача собранной телеметрии ИБ на флешке • Передача в одном направлении через однонаправленные МСЭ • Использование подхода C- Bridge