Кибербезопасность АСУ ТП и технологических сетей связи
Лопухов И.В.Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии промышленных систем передачи данных
Industrial EthernetПромышленная безопасность
Промышленная беспроводная связь
Стандарт IE для технологической связи:
• АСУ ТП
• ССПТИ
• Метрология
• Безопасность производственного персонала
• Непрерывность производственных процессов
• Стандартизация процессов по ИБ
• Мобильный рабочий персонал
• Уменьшение кабельных соединений на производственных участках
• Беспроводные датчики (ISA 100.11a , WirelessHart)
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
PLC
HMI
Cyber SecurityEAGLE EAGLE
Управление сетью10Gb
MACH4000MACH4000
MS30MS30
RS30RS30
EAGLE EAGLECyber Security
BAT54-Rail
Wireless LAN
Отказоустойчивое кольцо
HIPER-Ring 1Gb
Camera
Консоль оператора
Server
(Engineering, SCADA, Asset Management)
Беспроводной доступ для сервисого персонала
Корпоративная сеть
Ур
ов
ень
уп
рав
лен
ия
Ур
ов
ень
ко
нтр
ол
я
УправлениеКонтроль
ПолевойIndustrial HiVision
Технологические сети связи (1)
Технологические сети связи (2)
Portfolio промышленного ETHERNETEAGLE
RS20
RS20RS20 RS20
RS20
RS20 RS20
Redundanter HIPER-Ring
100Mb
OCTOPUS
SPIDERSPIDER
e2c 20
e2c 67
LioN
LioN-Link
LioN LDB
BAT54-F
SPS
AC/APMobile Client
IP67-Gateway
Gateway
LioN
LDB
SPSGateway
LDB
По
лев
ой
ур
ов
ень
УправлениеКонтроль
Полевой
Cyber Security
EAGLE
Cyber Security
EAGLE
Вчера
Завтра
Сегодня
Совершенствование коммуникационной структуры подстации
- Множественные медные соединения- Отсутствие резервирования
- Множественные медные соединения- Появление резервирования каналов связи
-Только оптические соединения-Полное резервирование каналов связи
Топология сети цифровой подстанции: стандарт МЭК 61850
Станционная шина
Шина процессов
Промышленный Firewall
ЦУС
Видеонаблюдение и
Контроль доступа
Станционная шина
Fast HIPER-Ring <5ms(MRP, RSTP)*
Process Bus
Sub-RingИнтеллектуальные
Электронные
Устройства (IED)
*Поддержка: MRP (Media Redundancy Protocol) RSTP (Rapid Spanning Tree Protocol)
IED IED IED IED IED
IED
IED
IED
Эволюция коммуникационной структуры подстанции
Использование открытых коммуникационных стандартов на базе Industrial Ethernet
Уязвимости современных промышленных коммуникационных структур
Сеть Технологической Связи DMZ
www
Firewall
Корпоративная сеть
Mailserver
Database
WebserverАРМАРМ ERP/MES
Firewall
DMS server
Active Directory
Удалённый доступ
Полевая сеть исполнительных устройств
АРМPLC PLC RTU RTU
Сервер АСУ ТП
HMI
АРМ
Заражение через модем
USB Drives
Инфецированнй мобильный клиент
Неверная конфигурация
Возможные сценарии кибер-атак
Уроки Stuxnet
1.Через инфицированные USB-flash и внешние HDD
2.Через локальную сеть (диски и сетевые сервиcы с общим доступом)
3.Через инфицированные файлы проектов Siemens (WinCC и STEP 7)
http://visual.ly/stuxnet-anatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351 (Security for Industrial Automation and Control Systems)• Создание безопасных зон внутри промышленной зоны• Защита промышленного сегмента сети может осуществлять персонал АСУТП (не требует специальных знаний)• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных протоколов с целью инспекции контента ( функция DPI )• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие, различные функции защиты
Tofino™ Central Management Platform (CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств Tofino с одной рабочей станции• Встроенный редактор• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых сетевых сегментов
Программируемые правила для контроллеров разных производителей
•Преконфигурированные правила для более чем 25 семейств промышленных контроллеров• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
•Предопределенные шаблоны для более чем 50 промышленных коммуникационных протоколов•Возможно
добавление новых протоколов
Промышленная аппаратная платформа
•EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX•EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM•EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX•EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall•Secure Asset Management•Content Inspection (Deep Packet Inspection)•VPN encryption•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости от требований к функциям безопасности
Модуль Firewall – функции сетевого экрана
•Быстрое определение списка правил для сетевого трафика•Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам•Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI -глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной MMS Телеизмерение (SV) GOOSE SNTP
6 Представительский Гарантированная доставка
(соединение)
5 Сеансовый
4 Транспортный TCP
ISO
UDP/TCP
3 Сетевой IP IP
2 Канальный Ethernet
1 Физический Витая пара / Оптическое волокно
• Модуль SAM : Secure Asset Management LSM
•Обнаружение сетевых устройств (без влияния на процессы в сети)•Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)•Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC•Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
•Инспекция содержимого ModBus пакетов•Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus•Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus•Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
•Инспекция содержимого OPC пакетов•Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений•Динамическое открывание портов в FireWall только когда
они необходимы•Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами Tofino, Tofino и PC, Tofino и устройствами третьих производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
•Запись Log-сообщений на устройство Tofino•Запись Log-сообщений на USB-Flash в Tofino•Передача сообщений на Syslog-сервер•Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не приводит к потери контроля над сетью и записью сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Top Related