Кибербезопасность Industrial IoT: мировые тенденцииАлексей Лукацкий

Бизнес-консультант по безопасности

© 2017 Cisco and/or its affiliates. All rights reserved.

• Сайт журналиста Брайна Кребса подвергся DDoS-атаке мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в секунду)

• В атаке участвовало множество IoT-устройств – IP-камеры, маршрутизаторы, DVR (digital video recorder)

• Интернет-провайдер OVH подвергся DDoS-атаке мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч IoT-устройств

• В атаке участвовало множество IoT-устройств – IP-камеры и DVR (digital video recorder)

Что произошло 20 сентября 2016 года?

А кто это?

• Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт

• Интернет-дефибриллятор

• Червь, распространяющийся через кардиостимуляторы

• Что насчет массового убийства?

• Дистанционный взлом инсулиновых помп

Чем известен Барнаби Джек?

А что нам угрожает?

What about a Stuxnet-style exploit?

2009!

Но проблема возникла раньше

Один из первых примеров кибервойн –1982 год

Кибервойны

Промышленный шпионаж

Конкуренты

Зачем атаковать Industrial IoT?

© 2015 Cisco and/or its affiliates. All rights reserved. 11

Зарубежные покупки Китаем активов ТЭК и кибератаки на них

Framework for LNG deal with Russia

LNG deal with Uzbekistan

LNG deal with Australia

LNG deal with Australia

LNG deal with France

Finalization of South Pars Phase 11 with

Iran

LNG deal with QatarGas

LNG deal with QatarGas

LNG deal with QatarGas

LNG deal with Shell

LNG deal with Exxon

Shale gas deal with Chesapeake Energy in Texas

Aggressive bidding on multiple Iraqi oil fields at

auctionPurchase of major stake in a second Kazakh oil

companyChina-Taiwan trade deal for petrochemicals

Purchase of Rumaila oil field, Iraq, at

auctionMcKay River and Dover oil sands deal with Athabasca, Canada

Development of Iran’s Masjed Soleyman oil

fieldOil development deal with

Afghanistan

Purchase of major stake in Kazakh oil company

2012201120102009 20132008

Shady RAT ( U.S.

natural gas wholesaler

)

Night Dragon

(Kazakhstan, Taiwan,Greece, U.S.)

Атака на промышленную сеть через Facebook

Злоумышленник нашел в Facebookоператора ночной

смены

Злоумышленник «подружился» с

оператором

Нарушитель ищет персональные

данные оператора

Нарушитель использовал социальный инжиниринг

Оператор открывает

фейковый линк и заражается

Нарушитель скачивает базу данных SAM &

подбирает пароль

Нарушитель входит в систему, запускает процедуру shutdown

Оператор реагирует очень

медленно (не верит, что это с

ним происходит!)

Злоумышленник меняет условия работы АСУ ТП

Удаленная площадка теряет

функцию удаленного запуска

Удаленная площадка остается

недоступной в течение 3+ дней

Снижение объемов переработки

нефтепродуктов

Отчет ICS-CERT за 2016 год

МЧС предупреждал, но в прошлом году

Российские ИБ-вендора тоже предупреждают

Лаборатория Касперского Positive Technologies

Российские ИБ-вендора предупреждают

Уязвимости в отечественном промышленном оборудовании находят

• Банк данных угроз и уязвимостей ФСТЭК России

• Содержит регулярно обновляемый перечень угроз и уязвимостей в ПО и «железе», используемом, преимущественно, на объектах в России

• http:///bdu.fstec.ru

Поэтому все-таки атаки на промышленный IoT входят в топ мировых рисков

Последниеинциденты

• Атака на АЭС в Японии в 2015-м году (стало известно только сейчас)

• Неправильное позиционирование зеркал на Ivanpah Solar Electric System привело к пожару (возможно ли сделать со злым умыслом?)

• Столкновение поездов в Казахстане и Баварии (киберпричина?)

• Атака на электроэнергетическую систему Украины с последующим обвинением России

• Атака на аэропорт «Борисполь»

Последние инциденты ИБ на критической инфраструктуре

• Обвинение иранцев в DDoS-атаке и взломе плотины около Нью-Йорка

• Регулярные демонстрации взломов автомобилей

• Атака на систему электроэнергетики Израиля

• Операция Dust Storm по атаке японских объектов ТЭК, транспорта, финансов и т.п.

• Создание первого червя для PLC Siemens, распространяемого без ПК

• Обнаружение на немецкой АЭС вируса

Последние инциденты ИБ на критической инфраструктуре

• Атака на ЖКХ-компанию Lansing Board of Water & Light в США

• Атака на CMS управления данными о содержимом и местонахождении кораблей (взлом пиратами контейнеров с бриллиантами)

• Атака на водоочистную систему Kemuri Water Company

• КНДР атаковало почтовые ящики сотрудников ж/д Южной Кореи

• Атаки на АСУЗ (СКУД) и медицинские системы/датчики

• Процедура катетеризации сердца пациента была прервана антивирусом

Последние инциденты ИБ на критической инфраструктуре

• Атаки на критическую инфраструктуру Украины

• Атаки на энергосистему Турции

• Подозрения в обращении джихадистов к кибертерроризму

• Европол на ВЭФ в Давосе, Group-IB, французская ANSSI

• Блокировка постояльцев в австрийской отеле RomantikSeehotel

• Атаки китайцев авиакосмических предприятий России и Беларуси

• Уволенный обиженный сотрудник удаленно внес изменения в АСУ ТП бумажной фабрики Port Hudson

Последние инциденты ИБ на критической инфраструктуре

В последнее время много политизированных фейковых новостей

Почему все пока не очень хорошо?

Подключенные системы

Network Automation

Service Assurance

Connected Machines

Edge Analytics Fabric

Location Services

Factory Wireless

Облачные системы

Design Collaboration

Private and Hybrid Cloud

Ecosystem Security

Secure Remote Access

Network Architectures

Network Analytics

Network Security

Изолированные системы

Virtualize Everything

Public, Private & Hybrid Cloud

Объединенные системы

Cloud Analytics Platforms

Factory Network

Factory Security

Machine as a Service

Virtualization & Compute

Factory Collaboration

Asset Management

Supply Chain

Collaboration (SXP)

Разные уровниавтоматизации

Пример: Границы и точки входа на атомной

электростанции в США

АСУ ТП

ИБучие АСУчиватели

Умный транспорт

Цифровая подстанция

Smart Grid

Connected Factories

Mobile Devices

Connected Wind Turbines

Smart Street Lights

Connected Trucks

Connected Oil Platforms

Умный город

Умное производство

Connected Traffic Signals

Connected Machines

Облако / ЦОД

Connected Equipment

Connected Rail

Smart Buses

Различные объекты защиты

Подключение к Интернет

• Простой промышленного оборудования в результате атаки вредоносного кода

• Несанкционированное изменение рецептуры или логики процесса

• Вывод из строя системы управления цепочками поставок

• Перехват управления оборудованием

• Утечка данных о рецептах/логике работы или характеристиках процесса на производстве

• И куча традиционных офисных угроз

Разные объекты – разные киберугрозы

Разные стандарты кибербезопасности

Рекомендации и требования по ИБ

• Рекомендации FDA по ИБ медустройств

• Рекомендации по ИБ систем управления водным транспортом

• Рекомендации GSMA для разработчиков IoT

• Новый приказ ФСТЭК по межсетевым экранам

• Тип «Д» – промышленные МСЭ

• Базовый уровень ИБ на КВО в Германии

• Отчеты ENISA по Smart Grid, по CIIP и по транспорту

• Рекомендации немецкого BSI по безопасности OPC UA

Новые документы, требования и рекомендации

…и еще несколько десятков различных стандартов

NIST CybersecurityFramework

Цель Cybersecurity Framework

• Унификация подходов по безопасности информационных систем в разных отраслях на протяжении всего жизненного цикла

• Унифицированные требования

• Руководство по использованию международных стандартов

• Февраль 2014

• DCS

• PLC

• RTU

• IED

• SCADA

• Safety Instrumented Systems (SIS)

• Ассоциированные информационные системы

• Связанные люди, сети и машины

Основная парадигма

Основная сетевая модель

Покрываемые CSF направления

Ссылки на другие стандарты

Используемые стандарты

• Стандарты NIST 800-82 и 800-53

• ISA/IEC-62443

• ISO 27001/02

• Стандарты ENISA

• Стандарт Катара

• Стандарт API

• Рекомендации ICS-CERT

• COBIT

• Council on CyberSecurity (CCS)Top 20 Critical Security Controls (CSC)

Российские требования

Какие документы уже есть?

• Документы ФСТЭК по КСИИ

• Основы госполитики в области

обеспечения безопасности АСУ

ТП КВО

• ФЗ-256

• Указ Президента №31с

• ПП-861 по уведомлению об

инцидентах на объектах ТЭК

• Приказ ФСТЭК №31

• Методические рекомендации по

созданию центров ГосСОПКИ

Разработаны

Законопроект

Внесение в ГосДуму

• Выполнение

требований

ФСБ по

реагированию

на инциденты

• Присоедине-

ние к сетям

электросвяз

и

• Новый

регулятор

(ФСТЭК или

ФСБ)

• Категорирование

объектов КИИ

Декабрь 2016

• Присоединени

е к ГосСОПКЕ

Законопроект

Принятие в первом

чтении

• Исключение из

надзора по ФЗ-

294

• Уголовная

ответственн

ость

• Отнесение к

гостайне

• Выполнение

требований по ИБ

Январь 2016

• Установка

средств

обнаружения

атак на сетях

операторов

связи

Принятие во втором

чтении запланировано

на весну 2017

Планы на ближайшее будущее (в России)

• Законопроект о безопасности критической информационной

инфраструктуры и 20+ подзаконных актов

• 10+ документов ФСБ (по направлению ГосСОПКА)

• Документы Правительства / Минэнерго

Повышение осведомленностии обучение

Стенды по промышленной ИБ

Киберучения: от мозгового штурма до

реального взлома

Рост числа сертификаций по

промышленной ИБ

GIAC Response and

Industrial Defense (GRID)

ISA/IEC 62443 Cybersecurity

CCNA

Industrial

Иные тенденции

Появление новых промышленных ИБ

решений

• Нишевые решения по промышленной ИБ (преимущественно МСЭ)

• Промышленные ИБ от ИБ/сетевых производителей

• Решения по ИБ от производителей средств промышленной автоматизации

Cisco ISA 3000

Аутсорсинг

ИБАнализ

угроз

Operations

Продукты

по ИБАрхитектура

ИБ

Исследов

ания Консалтинг«Разведка»

Cервисы ИБ

В качестве заключения

Герб Зеленограда

Белки vs хакеров: у нас еще есть времяАгент Успех

Белка 927

Птица 461

Змея 84

Енот 76

Крыса 41

Куница 23

Бобер 15

Медуза 13

Человек 3*http://cybersquirrel1.com

Дополнительная информация

Раздел «Брошюры» на сайте www.cisco.ru

Дополнительная информация

• Converged Plant-Wide Ethernet DIG

• Planning for a Converged Plant-wide Ethernet

Architecture – ARC Group

• Secure Wireless Plant

• Industrial Intelligence Architecture

• Securing Manufacturing Computer and Controller Assets

• Achieving Secure Remote Access to Plant Floor

Applications

Свяжитесь

с нами

Тестируйте

Составьте

план

внедрения

Напишите нам на security-

request@cisco.com или своему менеджеру

Cisco для организации встречи для более

глубокого обсуждения ваших потребностей

и того, как мы можем их удовлетворить

Воспользуйтесь широким спектром

возможностей по тестированию:• dCloud

• Виртуальные версии всего ПО

• Демо-оборудование

• И не забудьте про Threat Awareness Service

Мы поможем вам составить поэтапный

план внедрения решений по

кибербезопасности под ваши задачи

Что сделать после конференции?

#CiscoConnectRu#CiscoConnectRu

Спасибо за внимание!Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:Алексей Лукацкий

Бизнес-консультант по безопасностиalukatsk@cisco.com

Тел.: +7 495 9611410www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia