Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Кибербезопасность промышленного Интернета вещей

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация с потока по Industrial IoT на форуме "Интернет вещей", посвященная кибербезопасности промышленного Интернета вещей. Текущее состояние, тенденции и все такое.

1 of 50
Download to read offline
29 сентября 2016 Бизнес-консультант по безопасности Информационная безопасность Industrial IoT: мировые тенденции и российские реалии Алексей Лукацкий
Почему «в стилеAgile»?
• Сайт журналиста Брайна Кребса подвергся DDoS-атаке мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в секунду) • В атаке участвовало множество IoT-устройств – IP-камеры, маршрутизаторы, DVR (digital video recorder) • Интернет-провайдер OVH подвергся DDoS-атаке мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч IoT-устройств • В атаке участвовало множество IoT-устройств – IP-камеры и DVR (digital video recorder) Что произошло 20 сентября?
Что произошло 20 сентября?
А кто это?
• Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт • Интернет-дефибриллятор • Червь, распространяющийся через кардиостимуляторы • Что насчет массового убийства? • Дистанционный взлом инсулиновых помп Чем известен Барнаби Джек?
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещей
А что нам угрожает?
What about a Stuxnet-style exploit? 2009!
Но проблема возникла раньше
Кибервойны Промышленный шпионаж Конкуренты Зачем атаковать Industrial IoT? © 2015 Cisco and/or its affiliates. All rights reserved. 12
Зарубежные покупки Китаем активов ТЭК и кибератаки на них Framework for LNG deal with Russia LNG deal with Uzbekistan LNG deal with Australia LNG deal with Australia LNG deal with France Finalization of South Pars Phase 11 with Iran LNG deal with QatarGas LNG deal with QatarGas LNG deal with QatarGas LNG deal with Shell LNG deal with Exxon Shale gas deal with Chesapeake Energy in Texas Aggressive bidding on multiple Iraqi oil fields at auction Purchase of major stake in a second Kazakh oil company China-Taiwan trade deal for petrochemicals Purchase of Rumaila oil field, Iraq, at auction McKay River and Dover oil sands deal with Athabasca, Canada Development of Iran’s Masjed Soleyman oil field Oil development deal with Afghanistan Purchase of major stake in Kazakh oil company 2012201120102009 20132008 Shady RAT ( U.S. natural gas wholesaler ) Night Dragon (Kazakhstan, Taiwan, Greece, U.S.)
Атака на промышленную сеть через Facebook Злоумышленник нашел в Facebook оператора ночной смены Злоумышленник «подружился» с оператором Нарушитель ищет персональные данные оператора Нарушитель использовал социальный инжиниринг Оператор открывает фейковый линк и заражается Нарушитель скачивает базу данных SAM & подбирает пароль Нарушитель входит в систему, запускает процедуру shutdown Оператор реагирует очень медленно (не верит, что это с ним происходит!) Злоумышленник меняет условия работы АСУ ТП Удаленная площадка теряет функцию удаленного запуска Удаленная площадка остается недоступной в течение 3+ дней Снижение объемов переработки нефтепродуктов
Отчет ICS-CERT за 2015 год • 295 инцидентов (рост 20%) • 486 уязвимостей
МЧС предупреждает
Последние инциденты
• Атака на АЭС в Японии в 2015-м году (стало известно только сейчас) • Неправильное позиционирование зеркал на Ivanpah Solar Electric System привело к пожару (возможно ли сделать со злым умыслом?) • Столкновение поездов в Казахстане и Баварии (киберпричина?) • Атака на электроэнергетическую систему Украины с последующим обвинением России • Атака на аэропорт «Борисполь» Последние инциденты ИБ на критической инфраструктуре
• Обвинение иранцев в DDoS-атаке и взломе плотины около Нью-Йорка • Регулярные демонстрации взломов автомобилей • Атака на систему электроэнергетики Израиля • Операция Dust Storm по атаке японских объектов ТЭК, транспорта, финансов и т.п. • Создание первого червя для PLC Siemens, распространяемого без ПК • Обнаружение на немецкой АЭС вируса Последние инциденты ИБ на критической инфраструктуре
• Атака на ЖКХ-компанию Lansing Board of Water & Light в США • Атака на CMS управления данными о содержимом и местонахождении кораблей (взлом пиратами контейнеров с бриллиантами) • Атака на водоочистную систему Kemuri Water Company • КНДР атаковало почтовые ящики сотрудников ж/д Южной Кореи • Атаки на АСУЗ (СКУД) и медицинские системы/датчики • Процедура катетеризации сердца пациента была прервана антивирусом Последние инциденты ИБ на критической инфраструктуре
Почему все пока не очень хорошо?
Подключенные системы Network Automation Service Assurance Connected Machines Edge Analytics Fabric Location Services Factory Wireless Облачные системы Design Collaboration Private and Hybrid Cloud Ecosystem Security Secure Remote Access Network Architectures Network Analytics Network Security Изолированные системы Virtualize Everything Public, Private & Hybrid Cloud Объединенные системы Cloud Analytics Platforms Factory Network Factory Security Machine as a Service Virtualization & Compute Factory Collaboration Asset Management Supply Chain Collaboration (SXP) Разные уровни автоматизации
Пример: Границы и точки входа на атомной электростанции в США
АСУ ТП ИБучие АСУчиватели
Умный транспорт Цифровая подстанция Smart Grid Connected Factories Mobile Devices Connected Wind Turbines Smart Street Lights Connected Trucks Connected Oil Platforms Умный город Умное производство Connected Traffic Signals Connected Machines Облако / ЦОД Connected Equipment Connected Rail Smart Buses Различные объекты защиты
• Простой промышленного оборудования в результате атаки вредоносного кода • Несанкционированное изменение рецептуры или логики процесса • Вывод из строя системы управления цепочками поставок • Перехват управления оборудованием • Утечка данных о рецептах/логике работы или характеристиках процесса на производстве • И куча традиционных офисных угроз Разные объекты – разные киберугрозы
Разные стандарты кибербезопасности
Рекомендации и требования по ИБ
• Рекомендации FDA по ИБ медустройств • Рекомендации по ИБ систем управления водным транспортом • Рекомендации GSMA для разработчиков IoT • Новый приказ ФСТЭК по межсетевым экранам • Тип «Д» – промышленные МСЭ • Базовый уровень ИБ на КВО в Германии • Отчеты ENISA по Smart Grid, по CIIP и по транспорту • Рекомендации немецкого BSI по безопасности OPC UA • Проект приказа ФСТЭК по антивирусам Новые документы, требования и рекомендации …и еще несколько десятков различных стандартов
NIST Cybersecurity Framework
Цель Cybersecurity Framework • Унификация подходов по безопасности информационных систем в разных отраслях на протяжении всего жизненного цикла • Унифицированные требования • Руководство по использованию международных стандартов • Февраль 2014 • DCS • PLC • RTU • IED • SCADA • Safety Instrumented Systems (SIS) • Ассоциированные информационные системы • Связанные люди, сети и машины
Основная парадигма
Основная сетевая модель
Покрываемые CSF направления
Ссылки на другие стандарты
Используемые стандарты • Стандарты NIST 800-82 и 800-53 • ISA/IEC-62443 • ISO 27001/02 • Стандарты ENISA • Стандарт Катара • Стандарт API • Рекомендации ICS-CERT • COBIT • Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)
Российские требования
Приказ ФСТЭК №31 по защите АСУ ТП • №31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» • Все новые и модернизируемые системы должны создаваться по новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и последующих годов • В тех случаях, если КСИИ управляют технологическими процессами • Остальные типы КСИИ продолжают подчиняться требованиям ФСТЭК к ключевым системами информационной инфраструктуры
Смена парадигмы • Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации) • Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
Меры по защите информации АСУ ТП Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
Меры по защите информации АСУ ТП Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + • Планы ФСТЭК • Унификация перечня защитных мер для всех трех приказов • Выход на 2-хлетний цикл обновления приказов
Какими терминами мы оперируем? • Различные подходы законодателя к определению степени важности и режимности объектов приводят к появлению большого количества похожих, но все-таки разных терминов • Критически важный объект • Стратегически важный объект • Стратегический объект • Объект, имеющий стратегическое значение… • Важный объект • Важный государственный объект • Объект жизнеобеспечения • Особо важный объект • Специальный объект • Режимный объект • Потенциально опасный объект • Особо опасный и технически сложный объект
Защищенность важна, но какая?
Рекомендации и требования по ИБ
• Решение Kaspersky Industrial CyberSecurity • Решение Positive Industrial Security Incident Manager • Другие отечественные решения для защиты АСУ ТП • Infowatch ASAP, DATAPK, InfoDiode, Symantron, ViPNet, Secure Diode, СТРОМ и другие • Появление первых решений по ИБ АСУ ТП в реестре отечественного ПО Отечественные решения по ИБ промышленных сетей
Планы на будущее
• Законопроект о безопасности критической информационной инфраструктуры и 20+ подзаконных актов • 10+ документов ФСБ (по направлению ГосСОПКА) • 5+ документов ФСТЭК Планы на ближайшее будущее (в России)
• Конференция по кибербезопасности МАГАТЭ в Вене • Обновление существующих и разработка новых нормативных документов МАГАТЭ по кибербезопасности • Разработка новых нормативных документов по кибербезопасности в Росатоме • Исследования Chatham House и ПИР-Центра по кибербезопасности ФЯБ и атомной энергетике • Отчеты Nuclear Threat Initiative (NTI) о состоянии ИБ на атомных объектах во многих странах мира и отчет об аудите US NRC SOC • Моделирование атак на АЭС в США и UK • Инциденты ИБ на атомных объектах Мировая ядерная тематика
Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
Спасибо!

More Related Content

Кибербезопасность промышленного Интернета вещей

  • 1. 29 сентября 2016 Бизнес-консультант по безопасности Информационная безопасность Industrial IoT: мировые тенденции и российские реалии Алексей Лукацкий
  • 3. • Сайт журналиста Брайна Кребса подвергся DDoS-атаке мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в секунду) • В атаке участвовало множество IoT-устройств – IP-камеры, маршрутизаторы, DVR (digital video recorder) • Интернет-провайдер OVH подвергся DDoS-атаке мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч IoT-устройств • В атаке участвовало множество IoT-устройств – IP-камеры и DVR (digital video recorder) Что произошло 20 сентября?
  • 4. Что произошло 20 сентября?
  • 6. • Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт • Интернет-дефибриллятор • Червь, распространяющийся через кардиостимуляторы • Что насчет массового убийства? • Дистанционный взлом инсулиновых помп Чем известен Барнаби Джек?
  • 9. А что нам угрожает?
  • 10. What about a Stuxnet-style exploit? 2009!
  • 12. Кибервойны Промышленный шпионаж Конкуренты Зачем атаковать Industrial IoT? © 2015 Cisco and/or its affiliates. All rights reserved. 12
  • 13. Зарубежные покупки Китаем активов ТЭК и кибератаки на них Framework for LNG deal with Russia LNG deal with Uzbekistan LNG deal with Australia LNG deal with Australia LNG deal with France Finalization of South Pars Phase 11 with Iran LNG deal with QatarGas LNG deal with QatarGas LNG deal with QatarGas LNG deal with Shell LNG deal with Exxon Shale gas deal with Chesapeake Energy in Texas Aggressive bidding on multiple Iraqi oil fields at auction Purchase of major stake in a second Kazakh oil company China-Taiwan trade deal for petrochemicals Purchase of Rumaila oil field, Iraq, at auction McKay River and Dover oil sands deal with Athabasca, Canada Development of Iran’s Masjed Soleyman oil field Oil development deal with Afghanistan Purchase of major stake in Kazakh oil company 2012201120102009 20132008 Shady RAT ( U.S. natural gas wholesaler ) Night Dragon (Kazakhstan, Taiwan, Greece, U.S.)
  • 14. Атака на промышленную сеть через Facebook Злоумышленник нашел в Facebook оператора ночной смены Злоумышленник «подружился» с оператором Нарушитель ищет персональные данные оператора Нарушитель использовал социальный инжиниринг Оператор открывает фейковый линк и заражается Нарушитель скачивает базу данных SAM & подбирает пароль Нарушитель входит в систему, запускает процедуру shutdown Оператор реагирует очень медленно (не верит, что это с ним происходит!) Злоумышленник меняет условия работы АСУ ТП Удаленная площадка теряет функцию удаленного запуска Удаленная площадка остается недоступной в течение 3+ дней Снижение объемов переработки нефтепродуктов
  • 15. Отчет ICS-CERT за 2015 год • 295 инцидентов (рост 20%) • 486 уязвимостей
  • 18. • Атака на АЭС в Японии в 2015-м году (стало известно только сейчас) • Неправильное позиционирование зеркал на Ivanpah Solar Electric System привело к пожару (возможно ли сделать со злым умыслом?) • Столкновение поездов в Казахстане и Баварии (киберпричина?) • Атака на электроэнергетическую систему Украины с последующим обвинением России • Атака на аэропорт «Борисполь» Последние инциденты ИБ на критической инфраструктуре
  • 19. • Обвинение иранцев в DDoS-атаке и взломе плотины около Нью-Йорка • Регулярные демонстрации взломов автомобилей • Атака на систему электроэнергетики Израиля • Операция Dust Storm по атаке японских объектов ТЭК, транспорта, финансов и т.п. • Создание первого червя для PLC Siemens, распространяемого без ПК • Обнаружение на немецкой АЭС вируса Последние инциденты ИБ на критической инфраструктуре
  • 20. • Атака на ЖКХ-компанию Lansing Board of Water & Light в США • Атака на CMS управления данными о содержимом и местонахождении кораблей (взлом пиратами контейнеров с бриллиантами) • Атака на водоочистную систему Kemuri Water Company • КНДР атаковало почтовые ящики сотрудников ж/д Южной Кореи • Атаки на АСУЗ (СКУД) и медицинские системы/датчики • Процедура катетеризации сердца пациента была прервана антивирусом Последние инциденты ИБ на критической инфраструктуре
  • 21. Почему все пока не очень хорошо?
  • 22. Подключенные системы Network Automation Service Assurance Connected Machines Edge Analytics Fabric Location Services Factory Wireless Облачные системы Design Collaboration Private and Hybrid Cloud Ecosystem Security Secure Remote Access Network Architectures Network Analytics Network Security Изолированные системы Virtualize Everything Public, Private & Hybrid Cloud Объединенные системы Cloud Analytics Platforms Factory Network Factory Security Machine as a Service Virtualization & Compute Factory Collaboration Asset Management Supply Chain Collaboration (SXP) Разные уровни автоматизации
  • 23. Пример: Границы и точки входа на атомной электростанции в США
  • 25. Умный транспорт Цифровая подстанция Smart Grid Connected Factories Mobile Devices Connected Wind Turbines Smart Street Lights Connected Trucks Connected Oil Platforms Умный город Умное производство Connected Traffic Signals Connected Machines Облако / ЦОД Connected Equipment Connected Rail Smart Buses Различные объекты защиты
  • 26. • Простой промышленного оборудования в результате атаки вредоносного кода • Несанкционированное изменение рецептуры или логики процесса • Вывод из строя системы управления цепочками поставок • Перехват управления оборудованием • Утечка данных о рецептах/логике работы или характеристиках процесса на производстве • И куча традиционных офисных угроз Разные объекты – разные киберугрозы
  • 29. • Рекомендации FDA по ИБ медустройств • Рекомендации по ИБ систем управления водным транспортом • Рекомендации GSMA для разработчиков IoT • Новый приказ ФСТЭК по межсетевым экранам • Тип «Д» – промышленные МСЭ • Базовый уровень ИБ на КВО в Германии • Отчеты ENISA по Smart Grid, по CIIP и по транспорту • Рекомендации немецкого BSI по безопасности OPC UA • Проект приказа ФСТЭК по антивирусам Новые документы, требования и рекомендации …и еще несколько десятков различных стандартов
  • 31. Цель Cybersecurity Framework • Унификация подходов по безопасности информационных систем в разных отраслях на протяжении всего жизненного цикла • Унифицированные требования • Руководство по использованию международных стандартов • Февраль 2014 • DCS • PLC • RTU • IED • SCADA • Safety Instrumented Systems (SIS) • Ассоциированные информационные системы • Связанные люди, сети и машины
  • 35. Ссылки на другие стандарты
  • 36. Используемые стандарты • Стандарты NIST 800-82 и 800-53 • ISA/IEC-62443 • ISO 27001/02 • Стандарты ENISA • Стандарт Катара • Стандарт API • Рекомендации ICS-CERT • COBIT • Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)
  • 38. Приказ ФСТЭК №31 по защите АСУ ТП • №31 от 14.03.2014 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» • Все новые и модернизируемые системы должны создаваться по новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и последующих годов • В тех случаях, если КСИИ управляют технологическими процессами • Остальные типы КСИИ продолжают подчиняться требованиям ФСТЭК к ключевым системами информационной инфраструктуры
  • 39. Смена парадигмы • Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации) • Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
  • 40. Меры по защите информации АСУ ТП Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +
  • 41. Меры по защите информации АСУ ТП Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + • Планы ФСТЭК • Унификация перечня защитных мер для всех трех приказов • Выход на 2-хлетний цикл обновления приказов
  • 42. Какими терминами мы оперируем? • Различные подходы законодателя к определению степени важности и режимности объектов приводят к появлению большого количества похожих, но все-таки разных терминов • Критически важный объект • Стратегически важный объект • Стратегический объект • Объект, имеющий стратегическое значение… • Важный объект • Важный государственный объект • Объект жизнеобеспечения • Особо важный объект • Специальный объект • Режимный объект • Потенциально опасный объект • Особо опасный и технически сложный объект
  • 45. • Решение Kaspersky Industrial CyberSecurity • Решение Positive Industrial Security Incident Manager • Другие отечественные решения для защиты АСУ ТП • Infowatch ASAP, DATAPK, InfoDiode, Symantron, ViPNet, Secure Diode, СТРОМ и другие • Появление первых решений по ИБ АСУ ТП в реестре отечественного ПО Отечественные решения по ИБ промышленных сетей
  • 47. • Законопроект о безопасности критической информационной инфраструктуры и 20+ подзаконных актов • 10+ документов ФСБ (по направлению ГосСОПКА) • 5+ документов ФСТЭК Планы на ближайшее будущее (в России)
  • 48. • Конференция по кибербезопасности МАГАТЭ в Вене • Обновление существующих и разработка новых нормативных документов МАГАТЭ по кибербезопасности • Разработка новых нормативных документов по кибербезопасности в Росатоме • Исследования Chatham House и ПИР-Центра по кибербезопасности ФЯБ и атомной энергетике • Отчеты Nuclear Threat Initiative (NTI) о состоянии ИБ на атомных объектах во многих странах мира и отчет об аудите US NRC SOC • Моделирование атак на АЭС в США и UK • Инциденты ИБ на атомных объектах Мировая ядерная тематика
  • 49. Пишите на security-request@cisco.com Быть в курсе всех последних новостей вам помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-Russia-3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/