Система мониторинга ИБ промышленного предприятия. Опыт создания - Н.А. Домуховский Заместитель генерального директора
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Система мониторинга ИБ промышленного предприятия. Опыт создания. Н.А. Домуховский Заместитель генерального директора
Немного о нас… Проектирование 1. Внедрение первой СОИБ Создание АСУ ТП отдельного компании первой комплексной системы ИБ АСУ ТП производства предприятия 2. Выпущена первая версия ПАК DATAPK 2010 2013 2018 2007 2012 2016 1. Первый аудит ИБ АСУ ТП 2. Проектирование первой СОИБ АСУ Создание 1. Реализованы первые проекты по ТП отдельного выделенного категорированию объектов КИИ технологического направления ИБ 2. Начало внедрения первой объекта АСУ ТП комплексной системы ИБ АСУ ТП предприятия 2
Мониторинг безопасности – что это? Мониторинг – процесс сбора информации с целью наблюдений, оценки и прогноза изменений состояния объекта Безопасность – состояние защищенности … 3
Мониторинг безопасности – что это? Мониторинг – процесс сбора информации с целью наблюдений, оценки и прогноза изменений состояния объекта Безопасность – состояние защищенности … 4
Мониторинг безопасности – что это? Мониторинг – процесс сбора информации с целью наблюдений, оценки и прогноза изменений состояния объекта Безопасность – состояние защищенности … как мерить? чем мерить? что делать с результатом? 5
Мониторинг безопасности – зачем это? Соответствие требованиям регулирующих органов по обеспечению безопасности ОКИИ, АСУ КВО и пр. Своевременное выявление деградации системы обеспечения ИБ и принятие корректирующих мер Выявление инцидентов ИБ, которые могут произойти и в защищенной системе 6
Метод мониторинга безопасности АСУ ТП Доверенная система Контролируемый • Контроль целостности ПО и канал связи конфигурации (программной и аппаратной) • Контроль информационных потоков Смежная система • Отсутствие инструментов внесения изменений (в том числе, в конфигурации) Непрерывный мониторинг отклонений 7
Метод мониторинга безопасности АСУ ТП Защищаемая система Контролируемый • Контроль целостности ПО и канал связи конфигурации (программной и аппаратной) • Контроль информационных потоков Смежная система • Отсутствие инструментов внесения изменений (в том числе, в конфигурации) Непрерывный мониторинг отклонений Модель – это упрощение действительности. Поэтому, кроме перечисленного, необходимо осуществлять сбор и анализ событий безопасности со всех компонентов системы 8
Архитектура системы мониторинга безопасности АСУ ТП Корпоративный SOC инвентаризация инцид енты KICS for Networks обеспечивает: конфигурации • обнаружение аномалий и атак в события промышленной сети трафик трафик Защищаемая система 9
Архитектура системы мониторинга безопасности АСУ ТП Корпоративный SOC инвентаризация инцид енты DATAPK обеспечивает: • сбор событий ИБ с объектов промышленной сети • инвентаризация объектов промышленной сети и их конфигурации конфигураций события • анализ событий ИБ • интеграция с корпоративным SOC трафик трафик Защищаемая система 10
Архитектура системы мониторинга безопасности АСУ ТП Корпоративный SOC Корпоративный SOC обеспечивает: • систематизацию и визуализацию событий ИБ • обогащение событий ИБ данными инвентаризации инвентаризация • автоматизацию процесса управлениями инцидентами ИБ инцид енты конфигурации события трафик трафик Защищаемая система 11
Объект мониторинга. Ожидание vs реальность Не используется STP? Никто не знает, Нет свободных портов? где расположено К оборудование? Полно неуправляемых о коммутаторов? л Плоская сеть? Реальность Кольцо вькольце? Ожидание Схемы нет или ц неактуальная? о Пароль к коммутатору АСДУ Кольцо? ? утерян давным-давно? Не знают про Cisco Hierarchical Network Design? САУ САУ АРМ Когда начал обследовать промышленную сеть ПЛК 12
Построение сети мониторинга Вариант построения Плюсы Минусы Модернизация сети АСУ ТП • 100%-я видимость сети • Дорого • Более управляемая и надежная • Долго сеть • Может потребоваться согласование проектировщиков АСУ ТП Отдельная сеть мониторинга • Нет дополнительной нагрузки • Могут потребоваться на технологическую сеть дополнительные физические • Быстрее и дешевле каналы связи модернизации • Требуется портовая емкость на АСО АСУ ТП Увеличение числа сенсоров • Отсутствие влияния на сеть АСУ • Требуется портовая емкость на ТП АСО АСУ ТП • Можно задействовать • Дополнительные затраты на существующее оборудование лицензии ПО мониторинга сети Стоит отказаться от мечты анализировать 100% трафика технологической сети 13
Сеть мониторинга. Tips & Tricks Трафик кольца может быть Не рассчитывать на STP! снят через любой коммутатор кольца Если 100% трафика не получить – выбирать Строить независимую сеть мониторинга точку съема с основными информационными потоками 14
Обработка данных мониторинга безопасности Приоритизация: • учет критичности события, объекта, системы и пр. • показывать только то, что требует понятной реакции оператора • разделение данных по времени («свежие» и «несвежие» инциденты) Классификация: • по источникам (производство, АСУ ТП, объект АСУ ТП) • по типам (инцидент, тревога, информационное сообщение) • по временным отрезкам (оперативные, архивные) • … Обогащение: • добавление данных инвентаризации от различных источников • расшифровка служебных полей событий • добавление структур данных для оперативной работы (карточка инцидента и пр.) 15
Обработка данных мониторинга безопасности 16
Из чего собрать SOC? ГосСОПКА Сведения о компьютерных инцидентах CMDB, ИТ-мониторинг Система автоматизации процессов управления ИБ BPM, СЭД • Инвентаризация информационных ресурсов Сведения о ИТ- Автоматизация активах • Автоматизация категорирования ОКИИ бизнес-процессов • Автоматизация анализа угроз ИБ • Автоматизация управления инцидентами ИБ • … • сведения об объектах защиты • уязвимостях • инцидентах Система обеспечения ИБ 17
Система мониторинга. Ключевые факторы успеха Не оставлять белых пятен в плане 1 Сразу определите кто и как будет наводить порядок в промышленной сети Обеспечить безопасность объекта мониторинга 2 Не забудьте о настройке параметров безопасности объектов промышленной сети Keep it simple stupid 3 Не надо внедрять высокие технологии в промышленную сеть 80:20 4 Не надо стремиться анализировать 100% трафика (по крайней мере сразу) Думать о SOCe 5 Что будет выступать в роли SOC и кто будет им пользоваться? 18
СПАСИБО ЗА СПАСИБО ЗА ВНИМАНИЕ! ВНИМАНИЕ! ВОПРОСЫ? ВОПРОСЫ? Николай Домуховский Заместитель генерального директора ООО «УЦСБ» 620100, Екатеринбург, ул. Ткачей, д.6 Тел.: +7 (343) 379-98-34 Факс: +7 (343) 382-05-63 info@ussc.ru www.USSC.ru 19
Вы также можете почитать