Кибербезопасность АСУ ТП и технологических сетей связи

1. Кибербезопасность АСУ ТП и технологических сетей связи Лопухов И.В. Бренд-менеджер компании “ПРОСОФТ” 14.11.2013

2. Современные тенденции в развитии промышленных систем передачи данных Industrial Ethernet Промышленная безопасность Промышленная беспроводная связь Стандарт IE для технологической связи: • АСУ ТП • ССПТИ • Метрология • Безопасность производственного персонала • Непрерывность производственных процессов • Стандартизация процессов по ИБ • Мобильный рабочий персонал • Уменьшение кабельных соединенийна производственных участках • Беспроводные датчики (ISA 100.11a , WirelessHart) • ПрименениеIndustrial Ethernetопережает все известные стандарты по передаче данных для промышленных систем автоматизации • Интеграция корпоративных и технологических сетей

3. Управление Контроль Полевой Уровень управления Уровень контроля Технологические сети связи (1) Корпоративная сеть Cyber Security Консоль оператора EAGLE EAGLE Industrial HiVision (Engineering, SCADA, Asset Management) MACH4000 MACH4000 Управление сетью 10Gb Server BAT54-Rail MS30 MS30 PLC Беспроводной доступ для сервисого персонала Отказоустойчивое кольцо HIPER-Ring1Gb HMI RS30 RS30 Wireless LAN Camera Cyber Security EAGLE EAGLE

4. Управление Контроль Полевой Технологические сети связи (2) Portfolio промышленного ETHERNET Cyber Security EAGLE RS20 BAT54-F Cyber Security AC/APMobile Client OCTOPUS EAGLE RS20 RS20 RS20 EAGLE IP67-Gateway Redundanter HIPER-Ring100Mb SPIDER SPS Полевой уровень SPIDER RS20 e2c 67 RS20 RS20 LioN-Link Gateway Gateway SPS LioN LDB LioN LioN LDB e2c 20 LDB

5. Совершенствование коммуникационной структуры подстации - Множественные медные соединения - Появление резервирования каналов связи Завтра Сегодня -Только оптические соединения -Полное резервирование каналов связи - Множественные медные соединения - Отсутствие резервирования Вчера

6. Топология сети цифровой подстанции: стандарт МЭК 61850 Промышленный Firewall Станционная шина Шина процессов

7. ЦУС Станционная шина Fast HIPER-Ring <5ms(MRP, RSTP)* IED Process Bus Sub-Ring IED Интеллектуальные Электронные Устройства (IED) Видеонаблюдение и Контроль доступа IED IED IED IED IED IED *Поддержка:MRP (Media Redundancy Protocol) RSTP (Rapid Spanning Tree Protocol) Эволюция коммуникационной структуры подстанции Использование открытых коммуникационных стандартов на базе Industrial Ethernet

8. Уязвимости современных промышленных коммуникационных структур Возможные сценарии кибер-атак Неверная конфигурация   USB Drives  Инфецированнй мобильный клиент  Заражение через модем

9. Уроки Stuxnet 1.Через инфицированные USB-flash ивнешние HDD 2.Через локальную сеть (диски и сетевые сервиcыс общим доступом) 3.Через инфицированные файлы проектов Siemens (WinCC и STEP 7) http://visual.ly/stuxnet-anatomy-computer-virus

10. EAGLE Tofino™ - промышленный Firewall Программно-аппаратная платформа для обеспечения сетевой безопасностиуровня АСУ ТП на уровне L2модели OSI • Позволяет защищать сети в соответствии со стандартом IEC 62351 (Security for Industrial Automation and Control Systems) • Создание безопасных зон внутри промышленной зоны • Защита промышленного сегмента сети может осуществлять персонал АСУТП (не требует специальных знаний) • Управление с помощью графических интерфейсов • Анализ трафика большинства известных промышленных протоколов с целью инспекции контента ( функция DPI) • Расширенные функции сетевого экрана ( фильтрация промышленных протоколов) • Аппаратная платформа сертифицирована для работы на промышленных предприятиях, включая объекты электроэнергетики

11. EAGLE Tofino™ - компоненты платформы Tofino™ Central Management Platform (CMP) Централизованное управление Tofino™ Security Appliance Устройство для защиты сети Tofino™ Loadable Security Modules (LSM) Загружаемые модули реализующие, различные функции защиты

12. Tofino™ Central Management Platform (CMP): платформа управления • Конфигурирование, управление и мониторинг всех устройств Tofino с одной рабочей станции • Встроенный редактор • Визуальный Drag&Drop редактор для быстрой настройки

13. Иерархическое отображения защищаемых сетевых сегментов

14. Программируемые правила для контроллеров разных производителей • Преконфигурированные правила для более чем 25 семейств промышленных контроллеров • «Специальные» правила для обработки известных уязвимостей

15. Фильтрация промышленных протоколов • Предопределенные шаблоны для более чем 50 промышленных коммуникационных протоколов • Возможно добавление новых протоколов

16. Промышленная аппаратная платформа • EAGLE20 Tofino TX/TX Untrusted port - TX, trusted port - TX • EAGLE20 Tofino TX/MM Untrusted port - TX, trusted port - MM • EAGLE20 Tofino MM/TX Untrusted port - MM, trusted port - TX • EAGLE20 Tofino MM/MM Untrusted port - MM, trusted port – MM Эл.питание: 9.6..60VDC, 18..30VAC Тем.диапазон работы: -40 ºC ... 60 ºC Защита от ЭМИ

17. Подгружаемые функциональные модули Загружаемые модули (LSM): • Firewall • Secure Asset Management • Content Inspection (Deep Packet Inspection) • VPN encryption • Event Logger Модули LSM загружаются в EAGLE Tofino в зависимости от требований к функциям безопасности

18. Модуль Firewall – функции сетевогоэкрана • Быстрое определение списка правил для сетевого трафика • Автоматически блокируется (с созданием отчетов) любой трафик, не соответствующий заданным правилам • Простой механизм определения правил drag-and-drop

19. Промышленный Firewall: функция DPI -глубокий анализ пакетов

20. IEC61850.Стек протоколов

21. Модуль SAM : Secure Asset Management LSM • Обнаружение сетевых устройств (без влияния на процессы в сети) • Обнаружение новых устройств, сообщение в CMP и генерация тревожного оповещения (предупреждения) • Хранение подробных списков сетевых устройств (inventory list) в соотвествии с ANSI/ISA-99 и NERC • Assisted Rule Generation wizard помогает создавать новые правила FireWall для блокирования трафика

22. Модуль Modbus TCP Enforcer • Инспекция содержимого ModBus пакетов • Проверка «вменяемости» протокола и блокирование любого трафика не соответствующего стандарту ModBus • Инженер АСУ ТП определяет список разрешенных команд и регистров ModBus • Автоматическое блокирование и отчет о трафике, не соответствующему правилам

23. Модуль OPC Enforcer • Инспекция содержимого OPC пакетов • Автоматическое отслеживание TCP портов назначенных OPC-сервером для соединений • Динамическое открывание портов в FireWall только когда они необходимы • Проверка «вменяемости» протокола на соответствие стандартам DCE/RPC

24. EAGLE Tofino™ - модуль VPN • Создание защищенных туннелей между: устройствами Tofino, Tofino и PC, Tofino и устройствами третьих производителей • Простая настройка • Совместная работа с другими модулями (FireWall, ModBus Enforcer)

25. EAGLE Tofino™ - Layer 2 Bridging Возможность создания Ethernet моста через Internet с использованием отказоустойчивых протоколов ( RSTP,MRP)

26. EAGLE Tofino™ - модуль Event Logger • Запись Log-сообщений на устройство Tofino • Запись Log-сообщений на USB-Flash в Tofino • Передача сообщений на Syslog-сервер • Нет необходимости в CMP (Central Management Platform)при настроенной сети (т.е. выход из строя CMP не приводит к потери контроля над сетью и записью сообщений)

27. Демонстрация работы Eagle -Tofino Спасибо за внимание!