ICS+SIEM+NTA. Безопасный мониторинг безопасности

Transcript

1. ICS+SIEM+NTA Безопасный мониторинг Безопасности

2. • Образование: автоматизация технологических процессов и менеджмент пром. предприятий •

   15 лет опыта строительства технологических сетей и систем связи • 10 лет опыта создания систем АСУ ТП, ТМ, АСТУЭ, АСКУЭ, СДТУ • 9 лет опыта создания комплексных систем безопасности в промышленности Дмитрий Даренский руководитель практики промышленной кибербезопасности [email protected]

3. PTSECURITY.COM ICS security monitoring workflow Security data aggregation Secure data

   export from ICS Data normalization Data presentation and analysis Generating security data in ICS sources

4. PTSECURITY.COM Generating security data in ICS sources Библиотека "LSyslog" Библиотека

   предоставляет собой функциональный блок (FB), который выполняет следующие функции: • Устанавливает UDP- соединение с Syslog сервером с помощью открытых коммуникационных блоков; • Встраивает тревоги пользователя с отметкой времени в syslog cообщение; • Отправляет syslog сообщения.

5. PTSECURITY.COM Security data aggregation Sentinel System Monitor for Wonderware/AVEVA

6. PTSECURITY.COM Security data aggregation Emerson DeltaV Event Chronical Система DeltaV

   может быть настроена на предоставление информации журналов в SIEM или другой инструмент мониторинга событий, использующий один из перечисленных интерфейсов - OPC A & E, Syslog или WMI. Сбором всех логов, начиная от событий тех. процесса и заканчивая событиями безопасности, в том числе из журналов Windows, занимается утилита DeltaV system Event Chronicle. Логи собираются локально на каждой машине и есть возможность хранить их централизовано. DeltaV system Event Chronicle умеет различными способами в автоматическом режиме экспортировать логи в файл как целиком так и по изменению (есть гибкая система фильтрации, можно добавить задачу в планировщик винды).

7. PTSECURITY.COM Secure data export from ICS Проблематика: агенту SIEM или

   любой другой слушалке необходимо принимать syslog из АСУ сегмента сети через датадиод. Проблем в том, что исходная ОС ничего не знает о доступности IP адреса SIEM и отказывается отправлять какой либо трафик через датадиод т.к. не проходит ARP Запрос. Решение: Использовать строго UDP отправку и прописать статичный arp в таблицу. 1) Предположим, что enp8s0 - Это порт SIEM агента который находится в сети 192.168.10.0 и имеет IP 192.168.10.150 и MAC ff:fe:aa:13:bc:be То есть для успешного функционирования схемы нам нужно точно знать его. 2) Назначаем второму интерфейсу незанятый адрес из сети SIEM 192.168.10.17 Если на этом этапе пытаться отправить какой либо трафик на 192.168.10.150 - он не дойдет, т.к. машина ничего не знает о хостах за дата диодом. 3) Прописываем статический arp маршрут через выходной порт SYSLOG до с IP и мак адресом SIEM агента. arp -i enp4s0 -s 192.168.10.150 FF:FE:AA:13:BC:BE 4) arp слетает при перезагрузке, поэтому создаем скрипт /etc/network/if-up.d/add-static-arp и добавляем в него #!/bin/sh arp -i enp4s0 -s 192.168.10.150 FF:FE:AA:13:BC:BE 5) Делаем скрипт исполняемым chmod +x /etc/network/if-up.d/add-static-arp Example: data transmission via unidirectional gateway (data diode)

8. PTSECURITY.COM Secure data export from ICS Industrial Network Traffic Analysis

   PT ISIM View Sensor Security admin workstation PLC HMI Network switches SCADA server Operator workstation Engineer workstation ICS network Aggregated Traffic HTTPS/ SSH Expert Security Center Remote connects DMZ Positive Technologies Network switch Win Evet Log Win Evet Log Updates servers DataDiode/ Packet Broker Win Evet Log Historian server Actuators Sensors, Indicators Drives Technical support Knowledge base Manufactoring network SPAN/Traffic SPAN/Traffic Logs

9. PTSECURITY.COM Data normalization Corp. area SOC/CSC PT PLATFORM RS INDUSTRIAL

   PT Multiscanner MP SIEM LE PT ISIM netView Sensor MaxPatrol 8 Verdicts Scan Reports Scan Task Incidents OT network Operator workstations, Engineer workstations, SCADA servers, Historian, OPC, Network equipment, Security equipment, Backup servers PLC/RTU/Safety, Network equipment, Security equipment traffic copy snmp traps netflow event logs database data Scan, Poling, Probbing Requests Scan, Poling, Probbing Respond traffic copy

10. PTSECURITY.COM Data representation and analysis PT ISIM (Industrial NTA) PT

    MaxPatrol SIEM

11. PTSECURITY.COM ICS Security Monitoring Positive Technologies design SENSORS PT ISIM

    PLC HMI Network equipment SCADA Operator workstation Engineer workstation Sub-n Bus MPX AGENT Historian Transformers DMZ SAFETY Meters Network equipment Field MP SIEM PT SANDBOX MP VM ERP MES Historian OPC SOC Substation site Corp. center Corp. Network PT IPC Reclosers Process Bus Incident Cases Event & Data Sources PT ICS Использование USB-устройств на АРМах АСУ ТП Microsoft System Monitoring MaxPatrol SIEM Эксплуатация уязвимостей ассетов АСУ ТП ПЛК/RTU/IED, SCADA/Historian Network traffic, Microsoft System Monitoring MaxPatrol VM MaxPatrol SIEM PT ISIM Изменение технико-экономических показателей и мошенничество ПЛК/RTU/IED, SCADA/Historian Predictive Analysis Systems MaxPatrol SIEM PT ISIM PT SB Неавторизованное изменение проектов SCADA и ПЛК ПЛК/RTU/IED, SCADA/Historian, Network traffic, Microsoft System Monitoring MaxPatrol SIEM PT ISIM PT MultiScanner Неавторизованное изменение конфигураций и настроек SCADA и ПЛК ПЛК/RTU/IED, SCADA/Historian, Network traffic Microsoft System Monitoring, Network equipment firmware MaxPatrol SIEM PT ISIM ВПО в сети АСУ ТП Network traffic, Anti-Malware Systems MaxPatrol SIEM PT ISIM PT SB НСД к системам управления и технологической информации СКУД, Machine Vision Systems, Network traffic, Microsoft System Monitoring, Network equipment firmware MaxPatrol VM MaxPatrol SIEM PT ISIM Аномалии сетевого и прикладного уровня SCADA/Historian, Predictive Analysis Systems Network traffic, Microsoft System Monitoring MaxPatrol SIEM PT ISIM PT SB Нарушения регламента эксплуатации технологических установок и ПТБ СКУД, MachineVision, Field Workforce Management MaxPatrol SIEM

12. PTSECURITY.COM

13. POSITIVE TECHNOLOGIES: КИБЕРБЕЗОПАСНОСТЬ ВАШЕЙ ОРГАНИЗАЦИИ PTSECURITY.COM Positive Technologies уже 19

    лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес- риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построенына многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности. Сегодня свою безопасность нам доверяют более 2000 компаний в 30 странах мира. В числе наших клиентов в России — 80% участников рейтинга «Эксперт-400». Следите за нами в соцсетях (Facebook, ВКонтакте, Twitter), а также в разделе «Новости» на сайте ptsecurity.com.