ݺߣ

ݺߣShare a Scribd company logo

Практика проведения аудитов информационной безопасности систем автоматизации и управления

Компания УЦСБ
Компания УЦСБ

Презентация с серии семинаров компании УЦСБ: Информационная безопасность промышленных систем автоматизации и управления.

1 of 14
Downloaded 10 times
Николай  Домуховский Главный  инженер  ДСИ ООО  «УЦСБ» Практика  проведения  аудитов   информационной  безопасности  систем   автоматизации  и  управления
Зачем  заказывают  аудит  ИБ  АСУ  ТП? 2 из  14 оценка  текущего  уровня   защищенности  АСУ  ТП ущерб уязвимости угрозы контроль  защищенности доступ  из  смежных  сетей идентификация  объектов  защиты классификация Что  такое   АСУ  ТП? уязвимости классификация угрозы контроль  защищенности ущерб ущерб ущерб угрозы
Основные  этапы  аудита 3 из  14 Сбор  данных Тестирование  на   проникновение Моделирование  угроз Представление  результатов
Сбор  данных 4 из  14 задачи Анализ   документации кого  опрашивать? проекта    нет  или  утерян нельзя  использовать   стороннее  ПО Оператор Имя:  Иван   Иванов Год  рождения:   1975 Образование:   среднее Инженер   КИПиА Имя:  Петр   Иванов Год  рождения:   1980 Образование:   высшее • Технологический  регламент • Инструкции  персонала • Осмотр  и  документирование • Встроенные  средства   системного  и  прикладного  ПО
Тестирование  на  проникновение 5 из  14 задачи 1.  Разработка   Программы  и  выбор   инструментов 2.  Проникновение  в   защищаемый   сегмент 3.  Демонстрация атак   на  стенде разработчика ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная Цеховой  ПЛК Шкаф  САУиР   КЦ Промплащадка  КЦ ПЛК  САУ  ГПАПЛК  САУ  ГПА ПЛК  Локальных  САУ ... Блок-­бокс Блок-­бокс   автоматики  ГПА Блок-­бокс   автоматики  ГПА ГПА ГПА Технологическое   оборудование КЦ Сегмент  ПКУ  КЦСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ  КЦ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона Условные  обозначения: –  технологическое  оборудование –  Запираемый  шкаф  (блок-­бокс) –  границы  помещения –  границы  контролируемой  зоны –  пульт  управления –  Взаимодействие  с  технологическим  оборудованием –  Каналы  связи,  построенные  по  технологии  Ethernet –  Терминальная  линия  связи –  Каналы  связи  технологической  сети  передачи  данных   (Ethernet  или  последовательные  линии  связи) Сервисный   компьютер
6 из  14 Моделирование  угроз Модель  нарушителя Сценарии  реализации Оценка  ущерба
7 из  14 Модель  нарушителя Контролируемая  зона Пост  контроля  и  управления Аппаратная Оператор Сервисные организации Преступные элементы Пользователи  смежных систем Обслуживающий персонал  САУ Подрядные организации Администраторы  смежных систем
8 из  14 Сценарии  реализации Несанкционированное   подключение  съемного   носителя Заражение   вредоносным  ПО Отказ  функции   управления Атака  на  отказ  в   обслуживании  ПЛК НСД  в  технологическую   сеть Аварийный  останов Установка   постороннего  ПО  на   АРМ  оператора
9 из  14 Оценка  ущерба ИБ ПБ
10 из  14 Представление  результатов ... ... К  вышестоящим  и   смежным  системам Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер ПЛК Промплащадка ПЛКПЛК ПЛК ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная ПЛК Блок-­бокс Промплащадка ПЛКПЛК ПЛК Блок-­боксБлок-­боксБлок-­бокс ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная ПЛК Блок-­бокс Промплащадка ПЛКПЛК ПЛК Блок-­боксБлок-­боксБлок-­бокс ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона Передача  параметров  ТП Прямое   управление   ТОУ Прямое   управление   ТОУ Прямое   управление   ТОУ Передача  параметров  ТП Вышестоящим  и  смежным   системам Сбор     параметров   ТОУ Сбор     параметров   ТОУ Сбор     параметров   ТОУ Сбор     параметров   ТОУ Передача   уставок Передача   уставок Визуализация  информации  о   ходе  ТП Визуализация  информации  о   ходе  ТП Передача   производственных   задач ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная ПЛК Блок-­бокс Промплащадка ПЛКПЛК ПЛК Блок-­боксБлок-­боксБлок-­бокс ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона Передача  параметров  ТП Прямое   управление   ТОУ Прямое   управление   ТОУ Прямое   управление   ТОУ Передача  параметров  ТП Вышестоящим  и  смежным   системам Сбор     параметров   ТОУ Сбор     параметров   ТОУ Сбор     параметров   ТОУ Сбор     параметров   ТОУ Передача   уставок Передача   уставок Визуализация  информации  о   ходе  ТП Визуализация  информации  о   ходе  ТП Передача   производственных   задач Реализация   сетевой  атаки Сетевой  НСД Сетевой  НСД Подключение   стороннего   устройства Подключение   съемного   носителя Подключение   съемного   носителя Атака  на  отказ  в   обслуживании Атака  на  отказ  в   обслуживании Атака  на  отказ  в   обслуживании Атака  на  отказ  в   обслуживании Заражение   вредоносным  ПО Заражение   вредоносным  ПО Заражение   вредоносным  ПО Заражение   вредоносным  ПО Нарушение   работы  системы Нарушение   работы  системы Нарушение   работы  системы
Схема  структурная 11 из  14 ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная ПЛК Блок-­бокс Промплащадка ПЛКПЛК ПЛК Блок-­боксБлок-­боксБлок-­бокс ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона
Схема  функциональная 12 из  14 Сервер  SCADA ПЛК ТОУ АРМ  оператора Вышестоящие  и   смежные   системы –  производственные  задачи –  параметры  ТП –  команды  управления  ТП –  уставки –  параметры  ТОУ –  прямое  управление  ТОУ
Визуализация  сценариев  реализации  угроз   ИБ 13 из  14 Нарушителем  выполняется    подключение   собственной  рабочей  станции  к  ЛВС  смежной   системы. Нарушителем  выполняется    сканирование  ЛВС. Нарушителей  обнаруживает  СУБД  на  сервере   смежной  системы  с  уязвимостью,  позволяющей   выполнять  произвольный  код Нарушителем  выполняется  эксплуатация   уязвимости  для  создания  учетной  записи   пользователя  ОС. Нарушителем  выполняется  получение   данных  учетных  записей  ОС  сервера.  В   результате  нарушителем  получены   данные  учетной  записи  Администратора   ОС С  использованием  полученной  учетной  записи   Администратора  ОС  получен  доступ  к     коммуникационному  серверу  с  двумя  сетевыми   интерфейсами  подключенными  к  ЛВС  смежной   системы  и  АСУ  ТП. Выполнение   сканирования  ЛВС   АСУ  ТП  для   идентификации   компонентов  АСУ  ТП Получение  доступа  с   правами  Администратора   ОС  к  АРМ  и  серверам   АСУ  ТП  с  возможностью   влияния  на   технологический  процесс Коммуникационный   сервер ПЛК ПЛК Станция   нарушителяАРМ  Оператора АРМ  Оператора Сервер  СУБД Внешний   нарушитель Коммутационное   оборудование   смежной   системы Коммутационное   оборудование   АСУ  ТП 1 2 34 5
Благодарю  за  внимание! Николай  Домуховский ООО  «УЦСБ» 620100,  Екатеринбург,  ул.  Ткачей,  д.6 Тел.:  +7  (343)  379-­98-­34 Факс:  +7  (343)  382-­05-­63 info@ussc.ru www.USSC.ru

More Related Content

Практика проведения аудитов информационной безопасности систем автоматизации и управления

  • 1. Николай  Домуховский Главный  инженер  ДСИ ООО  «УЦСБ» Практика  проведения  аудитов   информационной  безопасности  систем   автоматизации  и  управления
  • 2. Зачем  заказывают  аудит  ИБ  АСУ  ТП? 2 из  14 оценка  текущего  уровня   защищенности  АСУ  ТП ущерб уязвимости угрозы контроль  защищенности доступ  из  смежных  сетей идентификация  объектов  защиты классификация Что  такое   АСУ  ТП? уязвимости классификация угрозы контроль  защищенности ущерб ущерб ущерб угрозы
  • 3. Основные  этапы  аудита 3 из  14 Сбор  данных Тестирование  на   проникновение Моделирование  угроз Представление  результатов
  • 4. Сбор  данных 4 из  14 задачи Анализ   документации кого  опрашивать? проекта    нет  или  утерян нельзя  использовать   стороннее  ПО Оператор Имя:  Иван   Иванов Год  рождения:   1975 Образование:   среднее Инженер   КИПиА Имя:  Петр   Иванов Год  рождения:   1980 Образование:   высшее • Технологический  регламент • Инструкции  персонала • Осмотр  и  документирование • Встроенные  средства   системного  и  прикладного  ПО
  • 5. Тестирование  на  проникновение 5 из  14 задачи 1.  Разработка   Программы  и  выбор   инструментов 2.  Проникновение  в   защищаемый   сегмент 3.  Демонстрация атак   на  стенде разработчика ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная Цеховой  ПЛК Шкаф  САУиР   КЦ Промплащадка  КЦ ПЛК  САУ  ГПАПЛК  САУ  ГПА ПЛК  Локальных  САУ ... Блок-­бокс Блок-­бокс   автоматики  ГПА Блок-­бокс   автоматики  ГПА ГПА ГПА Технологическое   оборудование КЦ Сегмент  ПКУ  КЦСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ  КЦ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона Условные  обозначения: –  технологическое  оборудование –  Запираемый  шкаф  (блок-­бокс) –  границы  помещения –  границы  контролируемой  зоны –  пульт  управления –  Взаимодействие  с  технологическим  оборудованием –  Каналы  связи,  построенные  по  технологии  Ethernet –  Терминальная  линия  связи –  Каналы  связи  технологической  сети  передачи  данных   (Ethernet  или  последовательные  линии  связи) Сервисный   компьютер
  • 6. 6 из  14 Моделирование  угроз Модель  нарушителя Сценарии  реализации Оценка  ущерба
  • 7. 7 из  14 Модель  нарушителя Контролируемая  зона Пост  контроля  и  управления Аппаратная Оператор Сервисные организации Преступные элементы Пользователи  смежных систем Обслуживающий персонал  САУ Подрядные организации Администраторы  смежных систем
  • 8. 8 из  14 Сценарии  реализации Несанкционированное   подключение  съемного   носителя Заражение   вредоносным  ПО Отказ  функции   управления Атака  на  отказ  в   обслуживании  ПЛК НСД  в  технологическую   сеть Аварийный  останов Установка   постороннего  ПО  на   АРМ  оператора
  • 9. 9 из  14 Оценка  ущерба ИБ ПБ
  • 10. 10 из  14 Представление  результатов ... ... К  вышестоящим  и   смежным  системам Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер ПЛК Промплащадка ПЛКПЛК ПЛК ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная ПЛК Блок-­бокс Промплащадка ПЛКПЛК ПЛК Блок-­боксБлок-­боксБлок-­бокс ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная ПЛК Блок-­бокс Промплащадка ПЛКПЛК ПЛК Блок-­боксБлок-­боксБлок-­бокс ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона Передача  параметров  ТП Прямое   управление   ТОУ Прямое   управление   ТОУ Прямое   управление   ТОУ Передача  параметров  ТП Вышестоящим  и  смежным   системам Сбор     параметров   ТОУ Сбор     параметров   ТОУ Сбор     параметров   ТОУ Сбор     параметров   ТОУ Передача   уставок Передача   уставок Визуализация  информации  о   ходе  ТП Визуализация  информации  о   ходе  ТП Передача   производственных   задач ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная ПЛК Блок-­бокс Промплащадка ПЛКПЛК ПЛК Блок-­боксБлок-­боксБлок-­бокс ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона Передача  параметров  ТП Прямое   управление   ТОУ Прямое   управление   ТОУ Прямое   управление   ТОУ Передача  параметров  ТП Вышестоящим  и  смежным   системам Сбор     параметров   ТОУ Сбор     параметров   ТОУ Сбор     параметров   ТОУ Сбор     параметров   ТОУ Передача   уставок Передача   уставок Визуализация  информации  о   ходе  ТП Визуализация  информации  о   ходе  ТП Передача   производственных   задач Реализация   сетевой  атаки Сетевой  НСД Сетевой  НСД Подключение   стороннего   устройства Подключение   съемного   носителя Подключение   съемного   носителя Атака  на  отказ  в   обслуживании Атака  на  отказ  в   обслуживании Атака  на  отказ  в   обслуживании Атака  на  отказ  в   обслуживании Заражение   вредоносным  ПО Заражение   вредоносным  ПО Заражение   вредоносным  ПО Заражение   вредоносным  ПО Нарушение   работы  системы Нарушение   работы  системы Нарушение   работы  системы
  • 11. Схема  структурная 11 из  14 ... ... К  вышестоящим  и   смежным  системам Пульт  управления Шкаф  АРМ Шкаф  серверный Серверное   оборудование АРМ  оператора АРМ  оператора АРМ  оператора АРМ  оператора Принтер Операторная Аппаратная ПЛК Блок-­бокс Промплащадка ПЛКПЛК ПЛК Блок-­боксБлок-­боксБлок-­бокс ТОУ ТОУ ТОУ ТОУ Сегмент  ПКУСегмент  нижнего  уровня Сегмент  подключения   вышестоящих  и  смежных   сиситем Коммуникационный   сервер Сетевое  оборудование  сети   передачи  данных  ПКУ Сетевое  оборудование   промышленной  сети   передачи  данных Контролируемая  зона
  • 12. Схема  функциональная 12 из  14 Сервер  SCADA ПЛК ТОУ АРМ  оператора Вышестоящие  и   смежные   системы –  производственные  задачи –  параметры  ТП –  команды  управления  ТП –  уставки –  параметры  ТОУ –  прямое  управление  ТОУ
  • 13. Визуализация  сценариев  реализации  угроз   ИБ 13 из  14 Нарушителем  выполняется    подключение   собственной  рабочей  станции  к  ЛВС  смежной   системы. Нарушителем  выполняется    сканирование  ЛВС. Нарушителей  обнаруживает  СУБД  на  сервере   смежной  системы  с  уязвимостью,  позволяющей   выполнять  произвольный  код Нарушителем  выполняется  эксплуатация   уязвимости  для  создания  учетной  записи   пользователя  ОС. Нарушителем  выполняется  получение   данных  учетных  записей  ОС  сервера.  В   результате  нарушителем  получены   данные  учетной  записи  Администратора   ОС С  использованием  полученной  учетной  записи   Администратора  ОС  получен  доступ  к     коммуникационному  серверу  с  двумя  сетевыми   интерфейсами  подключенными  к  ЛВС  смежной   системы  и  АСУ  ТП. Выполнение   сканирования  ЛВС   АСУ  ТП  для   идентификации   компонентов  АСУ  ТП Получение  доступа  с   правами  Администратора   ОС  к  АРМ  и  серверам   АСУ  ТП  с  возможностью   влияния  на   технологический  процесс Коммуникационный   сервер ПЛК ПЛК Станция   нарушителяАРМ  Оператора АРМ  Оператора Сервер  СУБД Внешний   нарушитель Коммутационное   оборудование   смежной   системы Коммутационное   оборудование   АСУ  ТП 1 2 34 5
  • 14. Благодарю  за  внимание! Николай  Домуховский ООО  «УЦСБ» 620100,  Екатеринбург,  ул.  Ткачей,  д.6 Тел.:  +7  (343)  379-­98-­34 Факс:  +7  (343)  382-­05-­63 info@ussc.ru www.USSC.ru