Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
©2018 Check Point Software Technologies Ltd. 1©2016 Check Point Software Technologies Ltd. ©2016 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.
по защите критическихинформационных инфраструктур
РЕШЕНИЯ CHECK POINT
Илья Анохин | Инженер по безопасности
©2018 Check Point Software Technologies Ltd. 2
Автоматизированные системы управления
… используются нами каждую секунду для повседневных вещей и операций
Автоматизация Нефть и газПромышленность
Водоподготовка Энергетика Транспорт
Управление зданиями
©2018 Check Point Software Technologies Ltd. 4
Факты и реальность
Май 2017 Остановка завода Dacia в Румынии на несколько дней
Ноябрь 2017 Взрыв на нефтеперерабатывающем заводе в Албании
Апрель 2018Попытка обхода защиты электростанции Орот Рабин в
Израиле
©2018 Check Point Software Technologies Ltd. 6
Многовекторная атака
Атака на электростанцию Орот Рабин
©2018 Check Point Software Technologies Ltd. 7
• Злоумышленники, используя сканер
уязвимостей, произвели сканирование
защиты периметра
• Сканирование производилось с
множества IP-адресов
• В ходе сканирования было проверено
несколько десятков распространённых
уязвимостей
• При помощи функционала IPS атака была
заблокирована
IPS
Атака на электростанцию Орот РабинСканирование уязвимостей
©2018 Check Point Software Technologies Ltd. 8
• Злоумышленники, используя социальные сети, выяснили, через какой сайт сотрудники
электростанции заказывали обеды
• Взлом слабозащищенного сайта компании по доставки еды
• Злоумышленники разместили на сайте вредоносный код при выполнении которого
организуется удаленный доступ к АРМ
• Сотрудники компании при посещении сайта увидели предупреждение о вредоносном коде
на сайте
• При помощи функционала Endpoint Anti-Exploit распространение зловреда было
остановлено
Anti-Exploit
Атака на электростанцию Орот РабинЗараженные веб-сайты
©2018 Check Point Software Technologies Ltd. 9
• Используя социальную инженерию, злоумышленники установили
личность одного из топ-менеджеров предприятия
• Используя уязвимости на личном ноутбуке топ-менеджера,
злоумышленники инфицировали ноутбук вирусом-
шифровальщиком
• Топ-менеджер принес заражённый ноутбук в периметр и
подключил его к корпоративному WI-FI
• При помощи механизмов Anti-Bot угроза была выявлена и
обезврежена
ANTI-BOT
Anti-Bot
Software Blade
Command
and Control
Атака на электростанцию Орот РабинШифрованное устройство в периметре
©2018 Check Point Software Technologies Ltd. 10
• Через социальные сети злоумышленники нашли несколько человек
работающих на электростанции
• Было сформировано несколько адресных электронных писем с
вредоносным вложением внутри
• Зловред предоставлял удаленный доступ к инфицированной АРМ
• При помощи механизмов SandBlast угроза была выявлена и
обезврежена
THREAT EMULATION THREAT EXTRACTION
Атака на электростанцию Орот РабинРассылка вредоносных почтовых вложений
©2018 Check Point Software Technologies Ltd. 11
• Злоумышленники, используя USB Rubber Ducky, подготовили
«флешку»
• ПО на USB-устройстве имитирует очень быстрый ввод клавиш с
клавиатуры
• Злоумышленники разбросали несколько «флешек» по территории
парковки у электростанции
• Сотрудник Орот Рабин, нашедший данное устройство, придя на
рабочее место попытался посмотреть, что на нём
• При помощи функционала Endpoint Media Encryption and Port
Protection предотвратил подключение нелегитимного устройства.
Атака на электростанцию Орот РабинВредоносные файлы на USB-носителях
©2018 Check Point Software Technologies Ltd. 12
Защита от любых векторов атак
Вектор атаки Решение Check Point
Отсутствие сегментации Межсетевое экранирование и сегментация сети
Уязвимости ПО Система предотвращения вторжений (IPS)
Вирусы и ботнеты Системы Antivirus & Anti-Bot
Шифровальщики SandBlast Anti-Ransomware
Фишинговые атаки SandBlast Emulation & Extraction
Съемные носители Набор решений Endpoint Security
Удаленные сотрудники Защищенные VPN-соединения (2FA)
©2018 Check Point Software Technologies Ltd. 13
Отчет ICS-CERTСамые распространенные риски 2017 года
Область Уровень Описание рисков
Сегментация сетей 1• Неавторизованный доступ к компонентам критической инфраструктуры
• Слабая или отсутствующая граница между IT-сетями и ОТ-сетями
Идентификация и
аутентификация 2• Отсутствие средств отслеживания компрометации учетных записей
• Повышенная сложность защиты учетных записей при увольнении сотрудников,
особенно сотрудников с повышенным уровнем доступа
Человеческие
ресурсы 3• Отсутствие резервного персонала для замещения ролей основного
• Снижение уровня знаний, необходимых для работы с системами управления
Физическая
безопасность 4
• Несанкционированный физический доступ повышает риски:
o добавления сторонних устройств для перехвата/перенаправления трафика
o злонамеренной модификации, удаления или копирования информации
o доступа к компонентам критической информационной инфраструктуры
o кражи или уничтожения компонентов КИИ
Управление
пользователями 5• Компрометация паролей в силу незащищенности каналов связи
• Несанкционированный доступ к компонентам критической инфраструктуры
ТРЕТИЙ ГОД ПОДРЯД!
©2018 Check Point Software Technologies Ltd.
КАКИМ ОБРАЗОМ МЫМОЖЕМ ОСТАВАТЬСЯНА ШАГ ВПЕРЕДИ УГРОЗ?
©2018 Check Point Software Technologies Ltd. 15
Лучшие практики защиты КИИ
Обеспечить
безопасность
IT- и OT-
окружений
Защитить корпоративную сеть
предприятия от угроз
Обеспечить четкое разделение между IT- и OT-инфраструктурами
Внедрить специализированные системы защиты для КИИ
©2018 Check Point Software Technologies Ltd. 16
РЕШЕНИЯ ПО ЗАЩИТЕ
критических информационных инфраструктур
CHECK POINT’S
C Y B E R D E F E N S E
Контроль
SCADA-трафика
Специализиро-
ванная защита
от угроз
Надежные
устройства для
агрессивной
среды
Анализ
событий
безопасности
©2018 Check Point Software Technologies Ltd. 17
Полевые устройства
Контроллеры (PLC/RTU)
Сенсоры Давление Поток Температура Напряжение Состояние
Анализ сетевого
трафика КИИ
Управляющая сеть
Центр управления
Сетевой
трафик
SCADA
Historian
Сегментация IT/OT
Уровень 0
Уровень 3
Уровень 1
Уровень 2
SCADA/HMI/DCS
Мониторинг трафика КИИ в реальном времени
©2018 Check Point Software Technologies Ltd. 18
• Какие устройства работают в
вашей сети?
• Каким образом эти устройства
взаимодействуют между собой и
внешним миром?
• Существуют ли ошибки
конфигурации и уязвимости?
• IP- и MAC-адреса
• Производитель устройства
• Тип устройства (PLC, HMI, рабочая
станция, коммутатор, итд)
• Модель и серийный номер
• Версия прошивки
• Протоколы и команды
• Внутрисистемные связи
• Открытые и проприетарные
протоколы
Информация
о сетиИнформация о
взаимодействииИнформация
об устройствах
Enhanced OT Visibility
©2018 Check Point Software Technologies Ltd. 19
Поддержка специализированных протоколов
Более 1000 SCADA и IoT команд
в Check Point Application Control
MMS
DNP3
Siemens
Step7
IEC 60870-5-104
IEC 61850
ICCP
OPC
DA & UA
Profinet
CIPIoT
MQTT MODBUS
… и другие
BACNET
Полный перечень: https://appwiki.checkpoint.com
©2018 Check Point Software Technologies Ltd. 20
Информация об устройстве
Детальная информация об устройстве – тип, производитель, версия прошивки и прочее
©2018 Check Point Software Technologies Ltd. 21
Информация об устройстве – иерархическая карта
©2018 Check Point Software Technologies Ltd. 22
РЕШЕНИЯ ПО ЗАЩИТЕ
критических информационных инфраструктур
CHECK POINT
C Y B E R D E F E N S E
Контроль
SCADA-трафика
Специализиро-
ванная защита
от угроз
Надежные
устройства для
агрессивной
среды
Анализ
событий
безопасности
©2018 Check Point Software Technologies Ltd. 23
Комбинированная защита
• Фаза обучения – автоматическое обнаружение устройств
• Поведенческий анализ на основе обнаружения аномалий
• Создание базисного профиля производственного процесса
• Фаза обучения – анализ сетевого трафика и логов
• Ручная конфигурация нормального режима работы
• Специализированные политики для команд и значений
• Политики на основе временных шаблонов трафика
Настраиваемые
политики
Обнаружение
аномалий
Комбинированная защита на основе
настраиваемых политик и обнаружения аномалий
©2018 Check Point Software Technologies Ltd. 24
Детальная информациядля расследованияинцидентов
ПОДРОБНО
СГРУППИРОВАНО
CHECK POINT SMARTLOG &
SMARTEVENT
Детальное журналирование трафика
©2018 Check Point Software Technologies Ltd. 25
Конфигурация политик безопасности
• Фаза обучения – журналирование всего трафика
• Создание нормального профиля трафика SCADA
• Конфигурация специализированных правил и политик
• Возможность задания пассивной (оповещение) или активной (блокировка) политики
©2018 Check Point Software Technologies Ltd. 26
Оповещения на базе поведенческого анализа
©2018 Check Point Software Technologies Ltd. 27
РЕШЕНИЯ ПО ЗАЩИТЕ
критических информационных инфраструктур
CHECK POINT
C Y B E R D E F E N S E
Контроль
SCADA-трафика
Специализиро-
ванная защита
от угроз
Надежные
устройства для
агрессивной
среды
Анализ
событий
безопасности
©2018 Check Point Software Technologies Ltd. 28
Компоненты КИИ редко обновляются
©2018 Check Point Software Technologies Ltd. 29
CHECK POINT
IPS
Виртуальный патчингБолее 300 специализированных IDS/IPS сигнатур
NSS Labs
Highest Rating
Защита от уязвимостей
и обнаружение
аномального трафика
©2018 Check Point Software Technologies Ltd. 30
РЕШЕНИЯ ПО ЗАЩИТЕ
критических информационных инфраструктур
CHECK POINT
C Y B E R D E F E N S E
Контроль
SCADA-трафика
Специализиро-
ванная защита
от угроз
Надежные
устройства для
агрессивной
среды
Анализ
событий
безопасности
©2018 Check Point Software Technologies Ltd. 31
Check Point 1200R
Температура и влажность:
• от -40 до 75°C,
• 20%-90%
Соответствует промышленным стандартам по
температуре, вибрациям, влажности и ЭМИ
Отсутствие движущихся частей
Гибкие варианты монтажа устройства
Различные опции по питанию:
• AC: 100-240V, 50 – 60 Hz
• DC: 12V-72V, -48V DC
Производительность:
49 SecurityPower1 Units
Пропускная способность МСЭ 2 Гбит/с, 1518 байт UDP
700 Мбит/c МСЭ, смешанный трафик
60 Мбит/с МСЭ и IPS, смешанный трафик
Пропускная способность VPN 450 Мбит/с
400,000 одновременных соединений
Соответствие требованиям:
IEEE 1613 , IEC 61850-3
CE, EN 55024, EN 55022
EN 61000-3, EN 61000-4
CB, IEC 60950, UL 60950
©2018 Check Point Software Technologies Ltd. 32
Архитектура индустриальной сети
©2018 Check Point Software Technologies Ltd. 33
Архитектура индустриальной сети
©2018 Check Point Software Technologies Ltd. 34
Детальныйконтроль
Единаяполитика
Мониторингвсего
УНИФИЦИРОВАННОЕ УПРАВЛЕНИЕ
IT- и OT-окружением
Интеграция с ведущими
SIEM-системами, такими как:
ArcSight, Q-Radar, Splunk,
Predix и другие
©2018 Check Point Software Technologies Ltd. 35
CHECK POINT COMPLIANCE BLADE
Управление соответствием требованиям
регуляторов в реальном времени
Проверка соответствия требованиям регуляторов
СПЕЦИАЛИЗИРОВАННЫЕ ПРОВЕРКИ СООТВЕТСТВИЯ
©2018 Check Point Software Technologies Ltd. 36
Приказ ФСТЭК N239. Приложение. Состав мер по обеспечению безопасности ЗнО КИИ
Обозначение
и номер мерыМеры обеспечения безопасности значимого объекта
Категория значимости
3 2 1
УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем + + +
АУД.4 Регистрация событий безопасности + + +
АУД.5 Контроль и анализ сетевого трафика +
АУД.7 Мониторинг безопасности + + +
АВЗ.1 Реализация антивирусной защиты + + +
АВЗ.2 Антивирусная защита электронной почты и иных сервисов + + +
СОВ.1 Обнаружение и предотвращение компьютерных атак + +
Меры по обеспечению безопасности (I)
©2018 Check Point Software Technologies Ltd. 37
Приказ ФСТЭК N239. Приложение XI. Защита информационной системы и ее компонентов
Обозначение
и номер мерыМеры обеспечения безопасности значимого объекта
Категория значимости
3 2 1
XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)
ЗИС.1Разделение функций по управлению (администрированию) информационной
(автоматизированной) системой с иными функциями+ + +
ЗИС.2 Защита периметра информационной (автоматизированной) системы + + +
ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы + + +
ЗИС.4 Сегментирование информационной (автоматизированной) системы + +
ЗИС.5 Организация демилитаризованной зоны + + +
ЗИС.6 Управление сетевыми потоками
ЗИС.7Использование эмулятора среды функционирования программного
обеспечения ("песочница")
Меры по обеспечению безопасности (II)
©2018 Check Point Software Technologies Ltd. 38
Приказ ФСТЭК N239. Приложение. XI. Защита информационной системы и ее компонентов
Обозначение
и номер меры
Меры обеспечения безопасности значимого объекта Категория значимости
3 2 1
XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)
ЗИС.8Сокрытие архитектуры и конфигурации информационной
(автоматизированной) системы+ + +
ЗИС.16 Защита от спама + +
ЗИС.17 Защита информации от утечек
ЗИС.18Блокировка доступа к сайтам или типам сайтов, запрещенных к
использованию
ЗИС.19 Защита информации при ее передаче по каналам связи + + +
ЗИС.20 Обеспечение доверенных канала, маршрута + + +
ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств + + +
Меры по обеспечению безопасности (III)
©2018 Check Point Software Technologies Ltd. 39
Приказ ФСТЭК N239. Приложение. XI. Защита информационной системы и ее компонентов
Обозначение
и номер меры
Меры обеспечения безопасности значимого объекта Категория значимости
3 2 1
XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)
ЗИС.23 Контроль использования мобильного кода + +
ЗИС.24 Контроль передачи речевой информации + +
ЗИС.25 Контроль передачи видеоинформации + +
ЗИС.27 Обеспечение подлинности сетевых соединений + +
ЗИС.32 Защита беспроводных соединений + + +
ЗИС.33 Исключение доступа через общие ресурсы +
ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак) + + +
Меры по обеспечению безопасности (IV)
©2018 Check Point Software Technologies Ltd. 40
Профилирование сетевой активности компонентов КИИ
Идентификация отклонений и атак на компоненты КИИ
Обнаружение / предотвращение атак на компоненты КИИ
Журналирование всей сетевой активности компонентов КИИ
Защита критических инфраструктур
©2018 Check Point Software Technologies Ltd. 41©2016 Check Point Software Technologies Ltd. ©2016 Check Point Software Technologies Ltd. ©2018 Check Point Software Technologies Ltd.
СПАСИБО!
Илья Анохин | Check Point Russia