Кибербезопасность АСУ ТП и технологических сетей связи

Лопухов И.В.Бренд-менеджер

компании “ПРОСОФТ”

14.11.2013

Современные тенденции в развитии промышленных систем передачи данных

Industrial EthernetПромышленная безопасность

Промышленная беспроводная связь

Стандарт IE для технологической связи:

• АСУ ТП

• ССПТИ

• Метрология

• Безопасность производственного персонала

• Непрерывность производственных процессов

• Стандартизация процессов по ИБ

• Мобильный рабочий персонал

• Уменьшение кабельных соединений на производственных участках

• Беспроводные датчики (ISA 100.11a , WirelessHart)

Применение Industrial Ethernet опережает все известные стандарты по передаче данных для промышленных систем автоматизации

Интеграция корпоративных и технологических сетей

PLC

HMI

Cyber SecurityEAGLE EAGLE

Управление сетью10Gb

MACH4000MACH4000

MS30MS30

RS30RS30

EAGLE EAGLECyber Security

BAT54-Rail

Wireless LAN

Отказоустойчивое кольцо

HIPER-Ring 1Gb

Camera

Консоль оператора

Server

(Engineering, SCADA, Asset Management)

Беспроводной доступ для сервисого персонала

Корпоративная сеть

Ур

ов

ень

уп

рав

лен

ия

Ур

ов

ень

ко

нтр

ол

я

УправлениеКонтроль

ПолевойIndustrial HiVision

Технологические сети связи (1)

Технологические сети связи (2)

Portfolio промышленного ETHERNETEAGLE

RS20

RS20RS20 RS20

RS20

RS20 RS20

Redundanter HIPER-Ring

100Mb

OCTOPUS

SPIDERSPIDER

e2c 20

e2c 67

LioN

LioN-Link

LioN LDB

BAT54-F

SPS

AC/APMobile Client

IP67-Gateway

Gateway

LioN

LDB

SPSGateway

LDB

По

лев

ой

ур

ов

ень

УправлениеКонтроль

Полевой

Cyber Security

EAGLE

Cyber Security

EAGLE

Вчера

Завтра

Сегодня

Совершенствование коммуникационной структуры подстации

- Множественные медные соединения- Отсутствие резервирования

- Множественные медные соединения- Появление резервирования каналов связи

-Только оптические соединения-Полное резервирование каналов связи

Топология сети цифровой подстанции: стандарт МЭК 61850

Станционная шина

Шина процессов

Промышленный Firewall

ЦУС

Видеонаблюдение и

Контроль доступа

Станционная шина

Fast HIPER-Ring <5ms(MRP, RSTP)*

Process Bus

Sub-RingИнтеллектуальные

Электронные

Устройства (IED)

*Поддержка: MRP (Media Redundancy Protocol) RSTP (Rapid Spanning Tree Protocol)

IED IED IED IED IED

IED

IED

IED

Эволюция коммуникационной структуры подстанции

Использование открытых коммуникационных стандартов на базе Industrial Ethernet

Уязвимости современных промышленных коммуникационных структур

Сеть Технологической Связи DMZ

www

Firewall

Корпоративная сеть

Mailserver

Database

WebserverАРМАРМ ERP/MES

Firewall

DMS server

Active Directory

Удалённый доступ

Полевая сеть исполнительных устройств

АРМPLC PLC RTU RTU

Сервер АСУ ТП

HMI

АРМ

Заражение через модем

USB Drives

Инфецированнй мобильный клиент

Неверная конфигурация

Возможные сценарии кибер-атак

Уроки Stuxnet

1.Через инфицированные USB-flash и внешние HDD

2.Через локальную сеть (диски и сетевые сервиcы с общим доступом)

3.Через инфицированные файлы проектов Siemens (WinCC и STEP 7)

http://visual.ly/stuxnet-anatomy-computer-virus

EAGLE Tofino™ - промышленный Firewall

Программно-аппаратная платформа для обеспечения сетевой безопасности уровня АСУ ТП на уровне L2 модели OSI

• Позволяет защищать сети в соответствии со стандартом IEC 62351 (Security for Industrial Automation and Control Systems)• Создание безопасных зон внутри промышленной зоны• Защита промышленного сегмента сети может осуществлять персонал АСУТП (не требует специальных знаний)• Управление с помощью графических интерфейсов

• Анализ трафика большинства известных промышленных протоколов с целью инспекции контента ( функция DPI )• Расширенные функции сетевого экрана ( фильтрация

промышленных протоколов)• Аппаратная платформа сертифицирована для работы на

промышленных предприятиях, включая объекты электроэнергетики

EAGLE Tofino™ - компоненты платформы

Tofino™ Central Management Platform (CMP)

Централизованное управление

Tofino™ Security Appliance

Устройство для защиты сети

Tofino™ Loadable Security Modules (LSM)

Загружаемые модули реализующие, различные функции защиты

Tofino™ Central Management Platform (CMP): платформа управления

• Конфигурирование, управление и мониторинг всех устройств Tofino с одной рабочей станции• Встроенный редактор• Визуальный Drag&Drop редактор для быстрой настройки

Иерархическое отображения защищаемых сетевых сегментов

Программируемые правила для контроллеров разных производителей

•Преконфигурированные правила для более чем 25 семейств промышленных контроллеров• «Специальные» правила для обработки известных

уязвимостей

Фильтрация промышленных протоколов

•Предопределенные шаблоны для более чем 50 промышленных коммуникационных протоколов•Возможно

добавление новых протоколов

Промышленная аппаратная платформа

•EAGLE20 Tofino TX/TX

Untrusted port - TX, trusted port - TX•EAGLE20 Tofino TX/MM

Untrusted port - TX, trusted port - MM•EAGLE20 Tofino MM/TX

Untrusted port - MM, trusted port - TX•EAGLE20 Tofino MM/MM

Untrusted port - MM, trusted port – MM

Эл.питание: 9.6..60VDC, 18..30VAC

Тем.диапазон работы: -40 ºC ... 60 ºC

Защита от ЭМИ

Подгружаемые функциональные модули

Загружаемые модули (LSM):

•Firewall•Secure Asset Management•Content Inspection (Deep Packet Inspection)•VPN encryption•Event Logger

Модули LSM загружаются в EAGLE Tofino в зависимости от требований к функциям безопасности

Модуль Firewall – функции сетевого экрана

•Быстрое определение списка правил для сетевого трафика•Автоматически блокируется (с созданием отчетов) любой

трафик, не соответствующий заданным правилам•Простой механизм определения правил drag-and-drop

Промышленный Firewall: функция DPI -глубокий анализ пакетов

IEC61850. Стек протоколов

7 Прикладной MMS Телеизмерение (SV) GOOSE SNTP

6 Представительский Гарантированная доставка

(соединение)

5 Сеансовый

4 Транспортный TCP

ISO

UDP/TCP

3 Сетевой IP IP

2 Канальный Ethernet

1 Физический Витая пара / Оптическое волокно

• Модуль SAM : Secure Asset Management LSM

•Обнаружение сетевых устройств (без влияния на процессы в сети)•Обнаружение новых устройств, сообщение в CMP и

генерация тревожного оповещения (предупреждения)•Хранение подробных списков сетевых устройств (inventory

list) в соотвествии с ANSI/ISA-99 и NERC•Assisted Rule Generation wizard помогает создавать новые

правила FireWall для блокирования трафика

• Модуль Modbus TCP Enforcer

•Инспекция содержимого ModBus пакетов•Проверка «вменяемости» протокола и блокирование

любого трафика не соответствующего стандарту ModBus•Инженер АСУ ТП определяет список разрешенных команд

и регистров ModBus•Автоматическое блокирование и отчет о трафике, не

соответствующему правилам

• Модуль OPC Enforcer

•Инспекция содержимого OPC пакетов•Автоматическое отслеживание TCP портов назначенных

OPC-сервером для соединений•Динамическое открывание портов в FireWall только когда

они необходимы•Проверка «вменяемости» протокола на соответствие

стандартам DCE/RPC

• EAGLE Tofino™ - модуль VPN

• Создание защищенных туннелей между: устройствами Tofino, Tofino и PC, Tofino и устройствами третьих производителей

• Простая настройка

• Совместная работа с другими модулями (FireWall, ModBus Enforcer)

EAGLE Tofino™ - Layer 2 Bridging

Возможность создания Ethernet моста через Internet с использованием отказоустойчивых протоколов ( RSTP,MRP)

• EAGLE Tofino™ - модуль Event Logger

•Запись Log-сообщений на устройство Tofino•Запись Log-сообщений на USB-Flash в Tofino•Передача сообщений на Syslog-сервер•Нет необходимости в CMP (Central Management Platform)

при настроенной сети (т.е. выход из строя CMP не приводит к потери контроля над сетью и записью сообщений)

Демонстрация работы Eagle -Tofino

Спасибо за внимание!