Post on 27-May-2020
Кибербезопасность Industrial IoT: мировые тенденцииАлексей Лукацкий
Бизнес-консультант по безопасности
© 2017 Cisco and/or its affiliates. All rights reserved.
• Сайт журналиста Брайна Кребса подвергся DDoS-атаке мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в секунду)
• В атаке участвовало множество IoT-устройств – IP-камеры, маршрутизаторы, DVR (digital video recorder)
• Интернет-провайдер OVH подвергся DDoS-атаке мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч IoT-устройств
• В атаке участвовало множество IoT-устройств – IP-камеры и DVR (digital video recorder)
Что произошло 20 сентября 2016 года?
А кто это?
• Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт
• Интернет-дефибриллятор
• Червь, распространяющийся через кардиостимуляторы
• Что насчет массового убийства?
• Дистанционный взлом инсулиновых помп
Чем известен Барнаби Джек?
А что нам угрожает?
What about a Stuxnet-style exploit?
2009!
Но проблема возникла раньше
Один из первых примеров кибервойн –1982 год
Кибервойны
Промышленный шпионаж
Конкуренты
Зачем атаковать Industrial IoT?
© 2015 Cisco and/or its affiliates. All rights reserved. 11
Зарубежные покупки Китаем активов ТЭК и кибератаки на них
Framework for LNG deal with Russia
LNG deal with Uzbekistan
LNG deal with Australia
LNG deal with Australia
LNG deal with France
Finalization of South Pars Phase 11 with
Iran
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with Shell
LNG deal with Exxon
Shale gas deal with Chesapeake Energy in Texas
Aggressive bidding on multiple Iraqi oil fields at
auctionPurchase of major stake in a second Kazakh oil
companyChina-Taiwan trade deal for petrochemicals
Purchase of Rumaila oil field, Iraq, at
auctionMcKay River and Dover oil sands deal with Athabasca, Canada
Development of Iran’s Masjed Soleyman oil
fieldOil development deal with
Afghanistan
Purchase of major stake in Kazakh oil company
2012201120102009 20132008
Shady RAT ( U.S.
natural gas wholesaler
)
Night Dragon
(Kazakhstan, Taiwan,Greece, U.S.)
Атака на промышленную сеть через Facebook
Злоумышленник нашел в Facebookоператора ночной
смены
Злоумышленник «подружился» с
оператором
Нарушитель ищет персональные
данные оператора
Нарушитель использовал социальный инжиниринг
Оператор открывает
фейковый линк и заражается
Нарушитель скачивает базу данных SAM &
подбирает пароль
Нарушитель входит в систему, запускает процедуру shutdown
Оператор реагирует очень
медленно (не верит, что это с
ним происходит!)
Злоумышленник меняет условия работы АСУ ТП
Удаленная площадка теряет
функцию удаленного запуска
Удаленная площадка остается
недоступной в течение 3+ дней
Снижение объемов переработки
нефтепродуктов
Отчет ICS-CERT за 2016 год
МЧС предупреждал, но в прошлом году
Российские ИБ-вендора тоже предупреждают
Лаборатория Касперского Positive Technologies
Российские ИБ-вендора предупреждают
Уязвимости в отечественном промышленном оборудовании находят
• Банк данных угроз и уязвимостей ФСТЭК России
• Содержит регулярно обновляемый перечень угроз и уязвимостей в ПО и «железе», используемом, преимущественно, на объектах в России
• http:///bdu.fstec.ru
Поэтому все-таки атаки на промышленный IoT входят в топ мировых рисков
Последниеинциденты
• Атака на АЭС в Японии в 2015-м году (стало известно только сейчас)
• Неправильное позиционирование зеркал на Ivanpah Solar Electric System привело к пожару (возможно ли сделать со злым умыслом?)
• Столкновение поездов в Казахстане и Баварии (киберпричина?)
• Атака на электроэнергетическую систему Украины с последующим обвинением России
• Атака на аэропорт «Борисполь»
Последние инциденты ИБ на критической инфраструктуре
• Обвинение иранцев в DDoS-атаке и взломе плотины около Нью-Йорка
• Регулярные демонстрации взломов автомобилей
• Атака на систему электроэнергетики Израиля
• Операция Dust Storm по атаке японских объектов ТЭК, транспорта, финансов и т.п.
• Создание первого червя для PLC Siemens, распространяемого без ПК
• Обнаружение на немецкой АЭС вируса
Последние инциденты ИБ на критической инфраструктуре
• Атака на ЖКХ-компанию Lansing Board of Water & Light в США
• Атака на CMS управления данными о содержимом и местонахождении кораблей (взлом пиратами контейнеров с бриллиантами)
• Атака на водоочистную систему Kemuri Water Company
• КНДР атаковало почтовые ящики сотрудников ж/д Южной Кореи
• Атаки на АСУЗ (СКУД) и медицинские системы/датчики
• Процедура катетеризации сердца пациента была прервана антивирусом
Последние инциденты ИБ на критической инфраструктуре
• Атаки на критическую инфраструктуру Украины
• Атаки на энергосистему Турции
• Подозрения в обращении джихадистов к кибертерроризму
• Европол на ВЭФ в Давосе, Group-IB, французская ANSSI
• Блокировка постояльцев в австрийской отеле RomantikSeehotel
• Атаки китайцев авиакосмических предприятий России и Беларуси
• Уволенный обиженный сотрудник удаленно внес изменения в АСУ ТП бумажной фабрики Port Hudson
Последние инциденты ИБ на критической инфраструктуре
В последнее время много политизированных фейковых новостей
Почему все пока не очень хорошо?
Подключенные системы
Network Automation
Service Assurance
Connected Machines
Edge Analytics Fabric
Location Services
Factory Wireless
Облачные системы
Design Collaboration
Private and Hybrid Cloud
Ecosystem Security
Secure Remote Access
Network Architectures
Network Analytics
Network Security
Изолированные системы
Virtualize Everything
Public, Private & Hybrid Cloud
Объединенные системы
Cloud Analytics Platforms
Factory Network
Factory Security
Machine as a Service
Virtualization & Compute
Factory Collaboration
Asset Management
Supply Chain
Collaboration (SXP)
Разные уровниавтоматизации
Пример: Границы и точки входа на атомной
электростанции в США
АСУ ТП
ИБучие АСУчиватели
Умный транспорт
Цифровая подстанция
Smart Grid
Connected Factories
Mobile Devices
Connected Wind Turbines
Smart Street Lights
Connected Trucks
Connected Oil Platforms
Умный город
Умное производство
Connected Traffic Signals
Connected Machines
Облако / ЦОД
Connected Equipment
Connected Rail
Smart Buses
Различные объекты защиты
Подключение к Интернет
• Простой промышленного оборудования в результате атаки вредоносного кода
• Несанкционированное изменение рецептуры или логики процесса
• Вывод из строя системы управления цепочками поставок
• Перехват управления оборудованием
• Утечка данных о рецептах/логике работы или характеристиках процесса на производстве
• И куча традиционных офисных угроз
Разные объекты – разные киберугрозы
Разные стандарты кибербезопасности
Рекомендации и требования по ИБ
• Рекомендации FDA по ИБ медустройств
• Рекомендации по ИБ систем управления водным транспортом
• Рекомендации GSMA для разработчиков IoT
• Новый приказ ФСТЭК по межсетевым экранам
• Тип «Д» – промышленные МСЭ
• Базовый уровень ИБ на КВО в Германии
• Отчеты ENISA по Smart Grid, по CIIP и по транспорту
• Рекомендации немецкого BSI по безопасности OPC UA
Новые документы, требования и рекомендации
…и еще несколько десятков различных стандартов
NIST CybersecurityFramework
Цель Cybersecurity Framework
• Унификация подходов по безопасности информационных систем в разных отраслях на протяжении всего жизненного цикла
• Унифицированные требования
• Руководство по использованию международных стандартов
• Февраль 2014
• DCS
• PLC
• RTU
• IED
• SCADA
• Safety Instrumented Systems (SIS)
• Ассоциированные информационные системы
• Связанные люди, сети и машины
Основная парадигма
Основная сетевая модель
Покрываемые CSF направления
Ссылки на другие стандарты
Используемые стандарты
• Стандарты NIST 800-82 и 800-53
• ISA/IEC-62443
• ISO 27001/02
• Стандарты ENISA
• Стандарт Катара
• Стандарт API
• Рекомендации ICS-CERT
• COBIT
• Council on CyberSecurity (CCS)Top 20 Critical Security Controls (CSC)
Российские требования
Какие документы уже есть?
• Документы ФСТЭК по КСИИ
• Основы госполитики в области
обеспечения безопасности АСУ
ТП КВО
• ФЗ-256
• Указ Президента №31с
• ПП-861 по уведомлению об
инцидентах на объектах ТЭК
• Приказ ФСТЭК №31
• Методические рекомендации по
созданию центров ГосСОПКИ
Разработаны
Законопроект
Внесение в ГосДуму
• Выполнение
требований
ФСБ по
реагированию
на инциденты
• Присоедине-
ние к сетям
электросвяз
и
• Новый
регулятор
(ФСТЭК или
ФСБ)
• Категорирование
объектов КИИ
Декабрь 2016
• Присоединени
е к ГосСОПКЕ
Законопроект
Принятие в первом
чтении
• Исключение из
надзора по ФЗ-
294
• Уголовная
ответственн
ость
• Отнесение к
гостайне
• Выполнение
требований по ИБ
Январь 2016
• Установка
средств
обнаружения
атак на сетях
операторов
связи
Принятие во втором
чтении запланировано
на весну 2017
Планы на ближайшее будущее (в России)
• Законопроект о безопасности критической информационной
инфраструктуры и 20+ подзаконных актов
• 10+ документов ФСБ (по направлению ГосСОПКА)
• Документы Правительства / Минэнерго
Повышение осведомленностии обучение
Стенды по промышленной ИБ
Киберучения: от мозгового штурма до
реального взлома
Рост числа сертификаций по
промышленной ИБ
GIAC Response and
Industrial Defense (GRID)
ISA/IEC 62443 Cybersecurity
CCNA
Industrial
Иные тенденции
Появление новых промышленных ИБ
решений
• Нишевые решения по промышленной ИБ (преимущественно МСЭ)
• Промышленные ИБ от ИБ/сетевых производителей
• Решения по ИБ от производителей средств промышленной автоматизации
Cisco ISA 3000
Аутсорсинг
ИБАнализ
угроз
Operations
Продукты
по ИБАрхитектура
ИБ
Исследов
ания Консалтинг«Разведка»
Cервисы ИБ
В качестве заключения
Герб Зеленограда
Белки vs хакеров: у нас еще есть времяАгент Успех
Белка 927
Птица 461
Змея 84
Енот 76
Крыса 41
Куница 23
Бобер 15
Медуза 13
Человек 3*http://cybersquirrel1.com
Дополнительная информация
Раздел «Брошюры» на сайте www.cisco.ru
Дополнительная информация
• Converged Plant-Wide Ethernet DIG
• Planning for a Converged Plant-wide Ethernet
Architecture – ARC Group
• Secure Wireless Plant
• Industrial Intelligence Architecture
• Securing Manufacturing Computer and Controller Assets
• Achieving Secure Remote Access to Plant Floor
Applications
Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
request@cisco.com или своему менеджеру
Cisco для организации встречи для более
глубокого обсуждения ваших потребностей
и того, как мы можем их удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию:• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный
план внедрения решений по
кибербезопасности под ваши задачи
Что сделать после конференции?
#CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:Алексей Лукацкий
Бизнес-консультант по безопасностиalukatsk@cisco.com
Тел.: +7 495 9611410www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia