2. ptsecurity.ru
Компетенции, реализованные в продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
3. ptsecurity.ru
Угрозы ИБ для пром.систем
актуальны?
… или зачем говорить о киберугрозах, если есть сотня способов
нарушить работу промышленных систем при помощи молотка и…
и даже без молотка
«То что в этом здании всё ещё горит свет –
это не наша заслуга, а чья-то недоработка»
Руководитель ИБ одной уважаемой энергетической компании
5. ptsecurity.ru
Тренды угроз: анализ FY2015 (США)
295 крупных инцидентов (15% рост)
• 46 – энергетика
• 97 инцидентов c «участием» поставщиков оборудования и сервисов
• В 106 случаях - использовались вредоносы и целевой фишинг
• В 12% были затронуты компоненты АСУ ТП
http://www.darkreading.com/attacks-bre
Специфика «кибер» угроз
Тиражируемость
Управляемость по времени
Повторяемость
Взаимозависимость и объединение ИТ и АСУ ТП - ОТ
Новые возможности/мотивация атакующих
6. ptsecurity.ru
Киберугрозы: из ИТ через ОТ в реальность
• Нарушение физической безопасности (взлом умных замков)
• Нарушение работы предприятия (ложные срабатывания
пожарной сигнализации, повторяющиеся)
• Утечки информации (съем данных с систем видеонаблюдения)
• Фрод (модификация показаний датчиков (весов))
• Локеры устройств
• Отключение
(исчерпание
батареи) SmartThings app that’s meant to check a lock’s battery
shouldn’t be able to steal its PIN or set off a fire alarm, they
argue. In fact, they analyzed 499 SmartThings and found that
more than half of them had at least some level of privilege they
considered overbroad, and that 68 actually used capabilities
they weren’t meant to possess.
7. ptsecurity.ru
А что если клиенты сыграют за
нападающих?
• Электро-распределительная компания
рассматривает возможность внедрения
«умных счетчиков»
• Умный?
• Канал связи (sms)
• Возможность (автоматического) управления
• Веб-интерфейс
• Мобильное приложение
• Что будет если
• Скомпрометировать веб-сервис/мобильное приложение?
• Подделать SMS от счетчика/на счетчик
• Осуществить массовую атаку на «сеть» счетчиков
• Повторять эту атаку еже-… (месячно, недельно, …, секундно)?
9. ptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость
и контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Осведомленность
об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфика
активов и
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы
10. ptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость
и контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Осведомленность
об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфика
активов и
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы
ДИНАМИКА
11. ptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость
и контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Осведомленность
об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфика
активов и
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы
ДИНАМИКА
Интеграция контролей безопасности
13. ptsecurity.ru
Positive Technologies – Наши исследования
• Более 150 000
промышленных систем
оказались
подключенными к
Интернет
• Около 15 000 из них
имеют критические
уязвимости
https://www.ptsecurity.com/upload/ptru/analytics/ICS-Vulnerability-2016-rus.pdf
14. ptsecurity.ru
АСУ ТП: доступность через Интернет
Компонент АСУ ТП
Найденное
количество
ЧМИ/SCADA + ПЛК/ТУД (RTU) 25 264
ТУД/ПЛК 18 233
Электроизмерительный прибор 17 979
ЧМИ/SCADA 13 485
Сетевое устройство 5 016
Сенсор 907
Компонент АСУ ТП
Найденное
количество
Конвертер интерфейсов 408
Автоматический выключатель 361
Электронное устройство 179
Инвертор 17
РЗА 9
Другие 76 229
16. ptsecurity.ru
АСУ ТП: уязвимости в цифрах
Высокую степень риска имеют 47%
среди выявленных уязвимостей АСУ ТП
Лишь 14% исправлены в течение
трех месяцев
Около 1/3 доступных через Интернет
систем управления не защищены:
лидируют системы автоматизации зданий
и управления электроэнергией
47%
14%
1/3
17. ptsecurity.ru
Состояние информационной безопасности современных АСУ
Более 150 000 АСУ доступны через интернет
Более 10% из них содержат критически опасные уязвимости*
Число кибератак на индустриальные системы за два года увеличилось на 636%**
Некоторые уязвимости
исправить нельзя
Вечно уязвимый ESC Model 8832
*Доклад Positive Technologies 2016
**Доклад IBM X-Force 2016
10%22%20%34%14%
Устранены
в течение
3 месяцев
Устранены
более чем через
3 месяца
Вендор
готовит патч
к выпуску
Статус неизвестен,
связались
с вендором
Не устранены
18. ptsecurity.ru
Мировая тенденция – разрыв увеличивается
Дни, часы, минуты
занимает
компрометация
Недели, месяцы
проходят до
обнаружения
Согласно 2015 Trustwave Global Security Report** среднее
время до обнаружения вторжения/ компрометации
составляет 188 дней
https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf
21. ptsecurity.ru
Internet
Доступ к
внутренней
сети
Атаки из внешней сети неизбежны: обнаружение?
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
91%
73%
45%
27%
80%
91%
100%
22. ptsecurity.ru
Проблема с проблемами ИБ
в промышленных системах
100% функциональная безопасность: невмешательство
Информационная безопасность не должна нарушать технологический процесс
Специфика и возможность интерпретации
Каждый технологический процесс уникален
Проверка гипотез об уязвимостях
Нужна дублирующая площадка для проверки наличия уязвимости
А кто пользователь ИБ-решений?
Результаты работы ИБ-решений должны быть полезны и для технологов,
и для безопасников
25. ptsecurity.ru
Что нужно для обеспечения ИБ в АСУ ТП (и мы это делаем)
Учитывать отраслевую специфику
В системе учитываются используемые протоколы, архитектура
и оборудование, типичные уязвимости ТП
Сбор данных без вмешательства в технологический процесс
Для мониторинга событий используются копия сетевого трафика
«Умный» анализ трафика
Система разбирает сетевой трафик и генерирует список событий,
обогащённый информацией для интерпретации ИТ, ИБ, технологами
Оперативная информация на всех уровнях
Отражение информации на карте техпроцесса, автоматическое
уведомление об инцидентах, инструкции для оператора АСУ ТП
и доступ к анализу трафика для специалистов по безопасности
Механизм обнаружения распределенных во времени атак
PT ISIM связывает между собой и выстраивает в цепочку отдельные
события, сравнивая их с векторами типичных атак – «SIEM для АСУ ТП»
PT ISIM Эффективно выявляет
Внутренние угрозы
Внешние угрозы
Ошибки конфигурации
27. ptsecurity.ru
Безопасность это купите наш продукт
процесс (и люди)
Но для организации процесса
нужны:
• Наблюдаемость
• Интерпретируемость
• Интеграция ИБ ИТ и ОТ
• …
http://www.osce.org/
29. ptsecurity.ru
Глобальные Кампании:
атака на индустрию
• Серия атак на предприятия нескольких отраслей
• В нескольких регионах
• Схожие признаки (тактика атакующего)
• Атака начинается с фишинг-письма из банка
• В приложении – троян
• Цель – получение доступа, учетных данных
• 130 «поражённых» компаний
30. ptsecurity.ru
Типовой сценарий: ожидайте целевых атак
• Проникновение в систему
• Целевой фишинг
• Документы с вредоносным содержимым
• Не обнаруживается антивирусом
• Закрепление в системе
• Устранение систем защиты
• Бэкдоры, замаскированные под легитимные сетевые службы (SSH)
• Планирование реализации угрозы
• Анализ компонентов и архитектуры системы
• Анализ «важности» захваченной системы
• Подготовка к реализации угрозы
• Выведение из строя средств противодействия сбоям
• Запуск DDoS-атаки на колл-центры
• Осуществление атаки: нарушение тех.процесса
• Затруднение восстановления: удаление файлов и остановка процессов
31. ptsecurity.ru
Границы инцидента: больше чем «событие безопасности»
Attackers
Hackers
Spies
Terrorists
Corporate
Raiders
Professional
Criminals
Vandals
Voyeurs
Tool
Physical
Attack
Information
Exchange
User
Command
Script or
Program
Autonomous
Agent
Toolkit
Distributed
Tool
Data Tap
Vulnerability
Design
Implementation
Configuration
Action
Probe
Scan
Flood
Authenticate
Bypass
Spoof
Read
Copy
Steal
Modify
Delete
Target
Account
Process
Data
Component
Computer
Network
Internetwork
Unauthorized
Results
Increased
Access
Disclosure of
Information
Corruption of
Information
Denial of
Service
Theft of
Resources
Objectives
Challenge,
Status, Thrill
Political
Gain
Financial
Gain
Damage
Event
Attack(s)
Incident
• Инцидент
рассматривается как
событие
• Анализ целей
• Атрибуция атакующего
• Расследовать
«событие» или
инцидент?
32. ptsecurity.ru
Увидеть путь атакующего в ИТ и ОТ
Initial
Compromise
Establish
Foothold
Escalate
Privileges
Internal
Recon
Move
Laterally
Complete
Mission
Maintain
Presence
Clean up &
Exfiltrate
Passive
Recon (OSINT)
Active
Recon
• Протяженность во времени
• Критичность событий
безопасности в зависимости от
этапа «продвижения»
атакующего
• «Прекратить безобразия» – не
всегда оптимальный путь
• Равно как и раскрыть факт
обнаружения проникновения
33. ptsecurity.ru
Легенда о Воздушном Зазоре
Внешние злоумышленники получают доступ к управлению технологическим процессом (ТП)
с помощью социальной инженерии, вредоносного ПО и через эксплуатацию уязвимостей внешнего
периметра
Пример: отключение электроснабжения части украинских электросетей в декабре 2015
Низкая квалификация сотрудников, халатность, несоблюдение регламентов и правил доступа.
Сотрудники предприятия вносят несанкционированные изменения в ТП и не документируют их,
используют слабые пароли, записанные на бумаге, подключают к АРМ оператора USB-накопители
и смартфоны.
Пример: несанкционированное подключение модемов
Подрядчики имеют максимальные привилегии в системе, физический или удаленный доступ
на время сервисного обслуживания.
Пример: подрядчик для обновления контроллеров использовал USB-диск с вредоносным ПО
и заразил контроллеры
36. ptsecurity.ru
PT Security Research: Oil Pumping Typical Infrastructure* (1/5)
• OT Field Devices
• PLC’s, RTU’s, Wireless gateways, etc.
• Process Network Devices
• Industrial switches, routers, etc.
• SCADA Components
• HMI’s, Historian, OPC-tunnels, etc.
• Industrial safety systems
• Fire, leak detection
• Physical security systems
• CCTV network
• Intrusion detection
* http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_pipeline.htm
37. ptsecurity.ru
PT Security Research: Oil Pumping Cyber Security Threats (2/5)
Protocol analysis
(Modbus, S7,
Profinet etc)
Kiosk mode
escape
Unauthorized
access
Firmware
download
Password
cracking
Access
controllers
Command/data
sending
Pipeline accident
Fire protection
system
SCADA/HMI
Pumping
Infrastructure
DMZ
Firmware
modification
Denial of service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Pipeline Idle time
Pumping
station
Fire
protection
system
Workstations
DMZ
Connection breach
Control over DMZ server
Damage to Environment
Internal
Attacker
Penetration vectors Target Systems Threats
Disposition
38. ptsecurity.ru
PT Security Research: Oil Refinery Typical Infrastructure* (3/5)
• OT Field Devices
• PLC’s, RTU’s, Wireless gateways, etc.
• Process Network Devices
• Industrial switches, routers, etc.
• SCADA Components
• HMI’s, Historian, OPC-tunnels, etc.
• Integration with MES & ERP
• Industrial safety systems
• Fire, leak detection
• Physical security systems
• CCTV network
• Intrusion detection
* http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_refinery.htm
39. ptsecurity.ru
PT Security Research: Refinery Case Description (4/5)
Based on comprehensive knowledge in SCADA/HMI software’s used in Refinery environments,
we’ve been able to verify, simulate several attack scenario’s
ICS Network penetration
Protocol analyzed / dissection.
ICS network unauthorized access using commonly exposed services (RDMS, Web Applications, RDP protocol, telnet,
etc.)
Vulnerabilities and Vectors
Identification of weak configurations
SCADA/HMI software vulnerabilities
Pivoting HMI /CDU/VDU
Fire Protection System
Manipulation of Fire system
40. ptsecurity.ru
Real Security Analysis - Oil Refinery Research Case (5/5)
WEB, RDP,
DBMS, OPC
Explosion plant
Fire protection
system
Operators’
workstations
CDU/VDU
Denial of service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Process interruption
DMZ
Connection breach
Damage to environment
Internal
attacker
ICS Network Penetration
RDP, DBMS
Telnet, FTP,
WEB, etc
MES/ERP LIMS
Printers, CCTV,
UPS, etc
SCADA/Engineer
software
Honeywell Experion PKS
Yokogawa CENTUM VP
DeltaV Emerson Process
Management
Siemens WinCC / Step7
Rockwell Studio 5000
Schneider Electric
InTouch / Unity Pro
PLC and SIS
Honeywell C300
DeltaV MD/MD+
Yokogawa SCP/CP
Siemens Simatic S7 300/400
Schneider Electric
Modicon/Quantum
SCADA
Safety warnings
Corporate
network
Target Systems Threats
Disposition
43. ptsecurity.ru
IT OpSec
AppSec
ОТ
Информационная безопасность ИТ+ОТ:
Вчера, сегодня, завтра
Сетевая Инфраструктура
Платформы (ОС)
СУБД
Веб-сервер
Система управления
содержимым
Приложения
Connectivity
Исполнительные устройства
ПЛК/SCADA
Система управления
производством (MES)
ERP
http://www.darkreading
46. ptsecurity.ru
Тактика и стратегия ИБ-трансформации
+Осведомленность
+Мотивация
+Знание
+Возможность
+Принуждение
**ADKAR 5 Elements Model
+«Разморозить» -
предпосылки к изменению
+Изменить
+Заморозить –
зафиксировать изменения
*Lewin Change Model
+ Sense of urgency
+ Powerful coalition
+ Create a Vision
+ Communicate the Vision
+ Empower others to act on the
vision
+ Short term wins
+ Consolidate improvements produce
more change
+ Institutionalizing
*** Kotter’s 8-step Process
1
Анализ
защищённости
2
Контроль
защищённости
3 4
Контроль
изменений
и мониторинг
Защита и
предотвращение
47. ptsecurity.ru
Путь к Безопасности
1. Наши продукты, наши компетенции
https://www.ptsecurity.com
2. Анализ уязвимостей и/или пилот,
мониторинг событий ИБ
pt@ptsecurity.com
3. Решение актуальных ИБ-задач
- Инфраструктура: Maxpatrol & Maxpatrol SIEM
- AppSec: PT AF & AI
- Индустриальная безопасность: PT ISIM
4. Осведомленность об угрозах и методах атак
- PHDays
- SecurityLab.ru
- PT Research
47
49. ptsecurity.ru
ptsecurity.ru
Компетенции, реализованные в продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
Can we learn from SCADA security incidents? (ENISA 2013)
Positive Technologies researchers have simulated what an internal attacker could achieve. Here’s major findings in a Oil Pumping infrastructure:
Communication chain
Protocol analyzed / dissection.
Identification of data in transit.
Identification of specific crafted package to send to affect pump functioning, general systems functioning
SCADA ecosystem variation
Identification of method to download equipment’s firmware and upload a crafted one
Kiosk invalidation
Identification on how to get access to the kiosk mode
Performed unauthorized operation over kiosk operating system
Exiting from Kiosk mode
Implement network and application attacks
Security measures / breaking availability
Local and remote ability to authenticate in OT infrastructure
Ability to manipulate business and security processes