Система мониторинга ИБ промышленного предприятия. Опыт создания - Н.А. Домуховский Заместитель генерального директора
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Система мониторинга ИБ промышленного
предприятия. Опыт создания.
Н.А. Домуховский
Заместитель генерального
директора
Немного о нас…
Проектирование 1. Внедрение первой СОИБ
Создание АСУ ТП отдельного
компании первой комплексной
системы ИБ АСУ ТП производства
предприятия 2. Выпущена первая
версия ПАК DATAPK
2010 2013 2018
2007 2012 2016
1. Первый аудит ИБ
АСУ ТП
2. Проектирование
первой СОИБ АСУ Создание 1. Реализованы первые проекты по
ТП отдельного выделенного категорированию объектов КИИ
технологического направления ИБ 2. Начало внедрения первой
объекта АСУ ТП комплексной системы ИБ АСУ ТП
предприятия
2
Мониторинг безопасности – что это?
Мониторинг – процесс сбора информации с целью
наблюдений, оценки и прогноза изменений состояния объекта
Безопасность – состояние защищенности …
3
Мониторинг безопасности – что это?
Мониторинг – процесс сбора информации с целью
наблюдений, оценки и прогноза изменений состояния объекта
Безопасность – состояние защищенности …
4
Мониторинг безопасности – что это?
Мониторинг – процесс сбора информации с целью
наблюдений, оценки и прогноза изменений состояния объекта
Безопасность – состояние защищенности …
как мерить?
чем мерить?
что делать с результатом?
5
Мониторинг безопасности – зачем это?
Соответствие требованиям регулирующих
органов по обеспечению безопасности ОКИИ,
АСУ КВО и пр.
Своевременное выявление деградации системы
обеспечения ИБ и принятие корректирующих мер
Выявление инцидентов ИБ, которые могут
произойти и в защищенной системе
6
Метод мониторинга безопасности АСУ ТП
Доверенная система Контролируемый
• Контроль целостности ПО и канал связи
конфигурации (программной и
аппаратной)
• Контроль информационных
потоков Смежная система
• Отсутствие инструментов
внесения изменений (в том
числе, в конфигурации)
Непрерывный мониторинг отклонений
7
Метод мониторинга безопасности АСУ ТП
Защищаемая система Контролируемый
• Контроль целостности ПО и канал связи
конфигурации (программной и
аппаратной)
• Контроль информационных
потоков Смежная система
• Отсутствие инструментов
внесения изменений (в том
числе, в конфигурации)
Непрерывный мониторинг отклонений
Модель – это упрощение действительности. Поэтому, кроме перечисленного,
необходимо осуществлять сбор и анализ событий безопасности со всех
компонентов системы
8
Архитектура системы мониторинга безопасности АСУ ТП
Корпоративный SOC
инвентаризация
инцид енты
KICS for Networks обеспечивает:
конфигурации
• обнаружение аномалий и атак в
события
промышленной сети
трафик
трафик
Защищаемая система
9Архитектура системы мониторинга безопасности АСУ ТП
Корпоративный SOC
инвентаризация
инцид енты
DATAPK обеспечивает:
• сбор событий ИБ с объектов промышленной сети
• инвентаризация объектов промышленной сети и их
конфигурации
конфигураций
события
• анализ событий ИБ
• интеграция с корпоративным SOC
трафик
трафик
Защищаемая система
10Архитектура системы мониторинга безопасности АСУ ТП
Корпоративный SOC Корпоративный SOC обеспечивает:
• систематизацию и визуализацию событий ИБ
• обогащение событий ИБ данными инвентаризации
инвентаризация
• автоматизацию процесса управлениями инцидентами ИБ
инцид енты
конфигурации
события
трафик
трафик
Защищаемая система
11Объект мониторинга. Ожидание vs реальность
Не используется
STP? Никто не знает,
Нет свободных портов? где расположено
К оборудование?
Полно неуправляемых
о
коммутаторов? л
Плоская сеть?
Реальность
Кольцо вькольце?
Ожидание
Схемы нет или ц
неактуальная? о Пароль к коммутатору
АСДУ
Кольцо? ? утерян давным-давно?
Не знают про Cisco
Hierarchical Network Design?
САУ САУ
АРМ
Когда начал обследовать
промышленную сеть
ПЛК
12Построение сети мониторинга
Вариант построения Плюсы Минусы
Модернизация сети АСУ ТП • 100%-я видимость сети • Дорого
• Более управляемая и надежная • Долго
сеть • Может потребоваться
согласование проектировщиков
АСУ ТП
Отдельная сеть мониторинга • Нет дополнительной нагрузки • Могут потребоваться
на технологическую сеть дополнительные физические
• Быстрее и дешевле каналы связи
модернизации • Требуется портовая емкость на
АСО АСУ ТП
Увеличение числа сенсоров • Отсутствие влияния на сеть АСУ • Требуется портовая емкость на
ТП АСО АСУ ТП
• Можно задействовать • Дополнительные затраты на
существующее оборудование лицензии ПО мониторинга сети
Стоит отказаться от мечты анализировать 100% трафика технологической сети
13Сеть мониторинга. Tips & Tricks
Трафик кольца может быть Не рассчитывать на STP!
снят через любой коммутатор
кольца
Если 100% трафика не получить – выбирать Строить независимую сеть мониторинга
точку съема с основными информационными
потоками
14Обработка данных мониторинга безопасности
Приоритизация:
• учет критичности события, объекта, системы и пр.
• показывать только то, что требует понятной реакции оператора
• разделение данных по времени («свежие» и «несвежие» инциденты)
Классификация:
• по источникам (производство, АСУ ТП, объект АСУ ТП)
• по типам (инцидент, тревога, информационное сообщение)
• по временным отрезкам (оперативные, архивные)
• …
Обогащение:
• добавление данных инвентаризации от различных источников
• расшифровка служебных полей событий
• добавление структур данных для оперативной работы (карточка инцидента и пр.)
15Обработка данных мониторинга безопасности
16Из чего собрать SOC?
ГосСОПКА
Сведения о компьютерных
инцидентах
CMDB, ИТ-мониторинг
Система автоматизации процессов
управления ИБ
BPM, СЭД
• Инвентаризация информационных ресурсов
Сведения о ИТ- Автоматизация
активах • Автоматизация категорирования ОКИИ бизнес-процессов
• Автоматизация анализа угроз ИБ
• Автоматизация управления инцидентами ИБ
• …
• сведения об
объектах защиты
• уязвимостях
• инцидентах
Система обеспечения ИБ 17Система мониторинга. Ключевые факторы успеха
Не оставлять белых пятен в плане
1
Сразу определите кто и как будет наводить порядок в промышленной сети
Обеспечить безопасность объекта мониторинга
2 Не забудьте о настройке параметров безопасности объектов промышленной сети
Keep it simple stupid
3
Не надо внедрять высокие технологии в промышленную сеть
80:20
4
Не надо стремиться анализировать 100% трафика (по крайней мере сразу)
Думать о SOCe
5
Что будет выступать в роли SOC и кто будет им пользоваться?
18СПАСИБО ЗА
СПАСИБО ЗА ВНИМАНИЕ!
ВНИМАНИЕ! ВОПРОСЫ?
ВОПРОСЫ?
Николай Домуховский
Заместитель генерального директора
ООО «УЦСБ»
620100, Екатеринбург, ул. Ткачей, д.6
Тел.: +7 (343) 379-98-34
Факс: +7 (343) 382-05-63
info@ussc.ru
www.USSC.ru 19Вы также можете почитать
