Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

SOC для КИИ: израильский опыт

Positive Hack Days
Positive Hack Days

В рамках секции: ИБ в АСУ ТП

1 of 22
Очень длинное название презентации SOC для КИИ Евгений Генгринович ИЗРАИЛЬСКИЙ ОПЫТ
Корпоративные сети. Новые вызовы.
Промышленные сети. Новые вызовы. • Не стандартная • Изолированная • Локальная поддержка • Автоматизированная Промышленность 3.0 • Операционно-совместимая • Прозрачная • Удаленно конфигурируемая • Автоматическая Промышленность 4.0 Более высокая устойчивость Более высокая продуктивность Повышенная гибкость Снижение затрат на эксплуатацию
Архитектура построения корпоративной сети Офисные информационные технологии (ИТ) Корпоративная сеть компании Промышленная сеть (уровень АСУ) Автоматизированные системы управления производством (АСУ) Аналитика Визуализация МСЭ Рабочие станции SCADA Сервера Сервер связи Архивы Сервер Приложений PLC RTU I/O IED IED RTU Сенсор Сенсор Локальный терминал Интерфейсные каналы Маршрутизатор Каналы связи АСКУЭ Другие центры управления Корпоративная сеть IED IED IED IED IED IED I/O Автоматизированные системы управления технологическими процессами (АСУТП) Operation Technologies (OT) Information Technologies (IT)
Архитектура средневекового замка 1.Линии обороны. Система укреплений состояла из двух концентрических кругов толстых стен. Оборона внешних стен велась с территории нижнего двора, а защитники внутренних укреплений отбивались от врага из башен и из верхнего двора. Замок окружал ров с водой, а запасы питьевой воды на случай осады хранились в специальных емкостях в нижнем дворе. 2.Внешняя стена. Скошенное утолщение у основания стены защищало ее от подкопа или подрыва. 3.Бойницы. Узкие щели бойниц, почти неуязвимые для снарядов, обычно расширялись внутрь, образуя в стене нишу. Лучники наблюдали оттуда за врагом и, прицелившись, стреляли. 4.Сводчатые галереи. Вдоль стен трапезной тянется сводчатая галерея. Внутренний двор служит убежищем для жителей замка в случае нападения наемников, охранявших внешнюю стену крепости. 5.Дополнительная страховка. Стены верхнего яруса укреплены мощным утолщением в виде ската, ширина которого в основании достигала 24,3 метра. Эта массивная конструкция выполняла роль гигантского контрфорса, выдержав даже землетрясения. 6.Хитрости обороны. От восточной надвратной башни к донжону вели пандусы. Петляющий тесный проход мешал стрельбе из стенобитных орудий. Даже резкая смена света и тени сбивала с толку. Источник: http://masterok.livejournal.com/ 1478534.html
Комплексный много- уровневый набор угроз Целевые атаки ▪ использование офисной сети, с целью проникновения в промышленную сеть ▪ использование компонентов АСУ для доступа к АСУТП ▪ использование сети АСУТП для атаки, путем скрытого подключения несанкционирован ных устройств. Сервер SCADAХронология Контроллер домена Интернет Сетевые серверы Серверы электронной почты Аутентификационные серверы Информационная Система Планирования Ресурсов Предприятия Внутренняя база данных и серверы IED Офисные информационные технологии (ИТ) Корпоративная сеть компании Промышленная сеть (уровень АСУ) Автоматизированные системы управления производством (АСУ) Промышленная сеть (объект) Автоматизированные системы управления технологическим процессом (АСУТП)
Пример вектора атаки
Классические уязвимости промышленных сетей Шлюзы между офисной и промышленной сетями Отсутствие наблюдаемости Параллельные вектора атак по нескольким направлениям Уязвимые протоколы SCADA
Примеры нестандартных атак на промышленные сети Социальные сети Опытный диспетчер электросетевой компании увлекался пленочной фотографией, общался в социальных сетях в соответствующих форумах, обменивался наиболее удачными фотографиями, часто демонстрировал фотографии детей и окружающей природы. Для оцифровки своих пленок пользовался услугами известного в городе фотоателье. После расследования киберинцидента на объекте, находящемся в сфере его ответственности было установлено, что причиной послужила целевая атака, запущенная через флешку из фотоателье, которую он просматривал на рабочем месте. Инсайд Джип-пикап проломил дыру во внешней стене подстанции, водитель, попав внутрь, предпринял попытку отключить ряд присоединений, от которых была запитана близлежащая военная база. Исполнитель ничего не понимая, ни в ИТ, ни в Энергетике, просто имел подготовленную заранее, точную схему своих действий на объекте.
Традиционный SOC: Множество средств и потоков данных
SOC и футбольные вратари Что общего? Александр Селихов – молодой вратарь Спартака Джанлуиджи Буффон в 39 лет, действующий голкипер Ювентуса и сборной Италии
SOC – это прежде всего слаженная команда
SOC – современные подходы
SOC – архитектура
SOC – центр управления Современные SOC применяют передовые методологии обработки данных для управления процессами обеспечения информационной безопасности
SOC – программное обеспечение Программное обеспечение SOC- это основа системы, в которой вся информация принимается и анализируется, генерируя полную картину информированности об обстановке (Unified Situation Awareness Picture - USAP) для эффективного и точного реагирования C&C Командная работа Управление событиями Управление доступом Связь Реагирование на события Данные в реальном времени Контроль датчиков
SOC – примеры
SOC – мобильный центр Server’s Room Separating Isolating Scren Control Room
SOC – полезность внедрения
Процент инцидентов, устраненных в течение 6-ти часов
Базовые принципы современного SOC ▪ Визуализация процессов в интуитивно-понятном интерфейсе ▪ Разумное управление угрозами на основе бизнес рисков ▪ Создание иерархии инцидентов по приоритетам ▪ Снижение требований к квалификационной подготовке персонала ИБ ▪ Сокращение времени до начала реагирования ▪ Выстраивание процесса управления в кризисной ситуации за пределами команды SOC ▪ Обеспечение информированности участников процесса ▪ Измерение и улучшение характеристик работы SOC
СПАСИБО! АДРЕС 115114, Россия, Москва, ул. Дербеневская, д.20/27 Тел. +7 (499) 502-13-75 E-mail: egengrinovich@iitdgroup.ru Контакты: OOO «ITD Systems» CYBERBIT Commercial Solutions Ltd. Cyber Security Group Ltd. 2Bsecure LTD. Презентация подготовлена на материалах компаний:

More Related Content

SOC для КИИ: израильский опыт

  • 1. Очень длинное название презентации SOC для КИИ Евгений Генгринович ИЗРАИЛЬСКИЙ ОПЫТ
  • 3. Промышленные сети. Новые вызовы. • Не стандартная • Изолированная • Локальная поддержка • Автоматизированная Промышленность 3.0 • Операционно-совместимая • Прозрачная • Удаленно конфигурируемая • Автоматическая Промышленность 4.0 Более высокая устойчивость Более высокая продуктивность Повышенная гибкость Снижение затрат на эксплуатацию
  • 4. Архитектура построения корпоративной сети Офисные информационные технологии (ИТ) Корпоративная сеть компании Промышленная сеть (уровень АСУ) Автоматизированные системы управления производством (АСУ) Аналитика Визуализация МСЭ Рабочие станции SCADA Сервера Сервер связи Архивы Сервер Приложений PLC RTU I/O IED IED RTU Сенсор Сенсор Локальный терминал Интерфейсные каналы Маршрутизатор Каналы связи АСКУЭ Другие центры управления Корпоративная сеть IED IED IED IED IED IED I/O Автоматизированные системы управления технологическими процессами (АСУТП) Operation Technologies (OT) Information Technologies (IT)
  • 5. Архитектура средневекового замка 1.Линии обороны. Система укреплений состояла из двух концентрических кругов толстых стен. Оборона внешних стен велась с территории нижнего двора, а защитники внутренних укреплений отбивались от врага из башен и из верхнего двора. Замок окружал ров с водой, а запасы питьевой воды на случай осады хранились в специальных емкостях в нижнем дворе. 2.Внешняя стена. Скошенное утолщение у основания стены защищало ее от подкопа или подрыва. 3.Бойницы. Узкие щели бойниц, почти неуязвимые для снарядов, обычно расширялись внутрь, образуя в стене нишу. Лучники наблюдали оттуда за врагом и, прицелившись, стреляли. 4.Сводчатые галереи. Вдоль стен трапезной тянется сводчатая галерея. Внутренний двор служит убежищем для жителей замка в случае нападения наемников, охранявших внешнюю стену крепости. 5.Дополнительная страховка. Стены верхнего яруса укреплены мощным утолщением в виде ската, ширина которого в основании достигала 24,3 метра. Эта массивная конструкция выполняла роль гигантского контрфорса, выдержав даже землетрясения. 6.Хитрости обороны. От восточной надвратной башни к донжону вели пандусы. Петляющий тесный проход мешал стрельбе из стенобитных орудий. Даже резкая смена света и тени сбивала с толку. Источник: http://masterok.livejournal.com/ 1478534.html
  • 6. Комплексный много- уровневый набор угроз Целевые атаки ▪ использование офисной сети, с целью проникновения в промышленную сеть ▪ использование компонентов АСУ для доступа к АСУТП ▪ использование сети АСУТП для атаки, путем скрытого подключения несанкционирован ных устройств. Сервер SCADAХронология Контроллер домена Интернет Сетевые серверы Серверы электронной почты Аутентификационные серверы Информационная Система Планирования Ресурсов Предприятия Внутренняя база данных и серверы IED Офисные информационные технологии (ИТ) Корпоративная сеть компании Промышленная сеть (уровень АСУ) Автоматизированные системы управления производством (АСУ) Промышленная сеть (объект) Автоматизированные системы управления технологическим процессом (АСУТП)
  • 8. Классические уязвимости промышленных сетей Шлюзы между офисной и промышленной сетями Отсутствие наблюдаемости Параллельные вектора атак по нескольким направлениям Уязвимые протоколы SCADA
  • 9. Примеры нестандартных атак на промышленные сети Социальные сети Опытный диспетчер электросетевой компании увлекался пленочной фотографией, общался в социальных сетях в соответствующих форумах, обменивался наиболее удачными фотографиями, часто демонстрировал фотографии детей и окружающей природы. Для оцифровки своих пленок пользовался услугами известного в городе фотоателье. После расследования киберинцидента на объекте, находящемся в сфере его ответственности было установлено, что причиной послужила целевая атака, запущенная через флешку из фотоателье, которую он просматривал на рабочем месте. Инсайд Джип-пикап проломил дыру во внешней стене подстанции, водитель, попав внутрь, предпринял попытку отключить ряд присоединений, от которых была запитана близлежащая военная база. Исполнитель ничего не понимая, ни в ИТ, ни в Энергетике, просто имел подготовленную заранее, точную схему своих действий на объекте.
  • 11. SOC и футбольные вратари Что общего? Александр Селихов – молодой вратарь Спартака Джанлуиджи Буффон в 39 лет, действующий голкипер Ювентуса и сборной Италии
  • 12. SOC – это прежде всего слаженная команда
  • 15. SOC – центр управления Современные SOC применяют передовые методологии обработки данных для управления процессами обеспечения информационной безопасности
  • 16. SOC – программное обеспечение Программное обеспечение SOC- это основа системы, в которой вся информация принимается и анализируется, генерируя полную картину информированности об обстановке (Unified Situation Awareness Picture - USAP) для эффективного и точного реагирования C&C Командная работа Управление событиями Управление доступом Связь Реагирование на события Данные в реальном времени Контроль датчиков
  • 18. SOC – мобильный центр Server’s Room Separating Isolating Scren Control Room
  • 21. Базовые принципы современного SOC ▪ Визуализация процессов в интуитивно-понятном интерфейсе ▪ Разумное управление угрозами на основе бизнес рисков ▪ Создание иерархии инцидентов по приоритетам ▪ Снижение требований к квалификационной подготовке персонала ИБ ▪ Сокращение времени до начала реагирования ▪ Выстраивание процесса управления в кризисной ситуации за пределами команды SOC ▪ Обеспечение информированности участников процесса ▪ Измерение и улучшение характеристик работы SOC
  • 22. СПАСИБО! АДРЕС 115114, Россия, Москва, ул. Дербеневская, д.20/27 Тел. +7 (499) 502-13-75 E-mail: egengrinovich@iitdgroup.ru Контакты: OOO «ITD Systems» CYBERBIT Commercial Solutions Ltd. Cyber Security Group Ltd. 2Bsecure LTD. Презентация подготовлена на материалах компаний: