SlideShare a Scribd company logo

Анализ инцидентов ИБ: промышленность и энергетика

Download as PPTX, PDF
Alexey Kachalin
Alexey Kachalin

Доклад трижды номинирован на Оскар (но это не точно)

Technology
1 of 48
Анализ инцидентов ИБ: Промышленность и энергетика ptsecurity.com
Атаки на АСУ ТП – «инновация»?
Атаки на АСУ ТП – «инновация»? 1982: "Farewell Dossier", the CIA was involved in the sale of 'altered' products and equipment to the Soviet Union. • "Contrived computer chips found their way into Soviet military equipment, flawed turbines were installed on a gas pipeline, and defective plans disrupted the output of chemical plants and a tractor factory." • "The pipeline software that was to run the pumps, turbines and valves was programmed to go haywire, to reset pump speeds and valve settings to produce pressures far beyond those acceptable to the pipeline joints and welds. The result was the most monumental non-nuclear explosion and fire ever seen from space."
90-е – 2000: точечные (случайные) заражения When Organization Under Attack Virus Name Virus Functionality Physical Impact 2003 Davis-Besse Nuclear Power Station, USA Slammer Slows down the network. Motive : Denial of Service, Propagation None. Although, Slammer downed the SCADA network on another utility (undisclosed). (Source) 2003 CSX Corporation, USA Sobig Sends out Spam via e-mail. Motive : Spam, Propagation The virus infected a computer system in the company's headquarters, shutting down signalling, dispatching and other systems. Train Delays were caused as a result of this. (Source) 2004 British Airways, Railcorp, Delta Airlines Sasser Exploits a buffer overflow vulnerability to propagate to other vulnerable systems. Some aggressive variants can cause network congestion. Motive : Propagation Train and flight delays and flight cancellations in some cases. (Source) 2009 French Navy Conficker Exploits a Windows vulnerability, or performs dictionary attacks for administrator passwords to install itself. It propagates to other vulnerable machines, self- updates and downloads & installs further malware. Motive : Propagation, Installation of other malware. Failure to download flight plans leading to grounded aircrafts. (Source)
2010-е – угрозы набирают обороты When Organization(s) Under Attack Virus Name Virus Functionality Physical Impact 2009 Exxon, Shell, BP, among others Night Dragon Remote Access Trojans (RATs) distributed using spearphishing. (Source) Motive : Data stealing/spying, Propagation None. (Although, it is reported that attackers exfiltrated operational blueprints for SCADA systems and even collected data from them.) 2010 Iran's Natanz nuclear facility Stuxnet Intercepts and makes changes to data read from and writen to a PLC. (Source) Motive : Destruction Destroyed a fifth of Iran's nuclear centrifuges. 2014 No reported cases Havex Distributed as Trojanized ICS/SCADA software downloads from compromised vendor websites, it scans the LAN for OPC servers and sends collected data to a Command and Control (C&C) server. (Source) Motive : Data stealing/Spying None 2014 No reported cases Blacken Found on a C&C server for an existing botnet of the Sandworm Team, it targets users of the SCADA software, GE Cimplicity, and installs executables to the software's home directory. Some of these executables are bots that can be commanded remotely. It also references Cimatics design files but their exact use is not yet understood. (Source) Unknown (due to missing files on the C&C) 2014 No reported cases (Unconf irmed) Disguised as Trojanized SCADA/ICS software updates (e.g. Siemens Simatic WinCC, GE Cimplicity, and Advantech) , these files are basically traditional Banking Trojans. (Source) Motive : Spying/Data stealing None
Угрозы ИБ для промышленности актуальны? … или зачем говорить о киберугрозах, если есть сотня способов нарушить работу промышленных систем при помощи молотка и… и даже без молотка «То что в этом здании всё ещё горит свет – это не наша заслуга, а чья-то недоработка» Руководитель ИБ одной уважаемой энергетической компании
Тренды угроз: анализ FY2015 (США) 295 крупных инцидентов (15% рост) • 46 – энергетика • 97 инцидентов c «участием» поставщиков оборудования и сервисов • В 106 случаях - использовались вредоносы и целевой фишинг • В 12% были затронуты компоненты АСУ ТП Специфика «кибер» угроз • Тиражируемость • Управляемость по времени • Повторяемость • Взаимозависимость и объединение ИТ и АСУ ТП - ОТ • Новые возможности/мотивация атакующих http://www.darkreading.com/attacks-bre
С начала: Промышленная, но всё же Компания • Предотвращение атак и инцидентов • Инвентаризация • Уязвимости, управление уязвимостями • Выявление уязвимостей, безопасная разработка • Осведомленность сотрудников • Мониторинг безопасности и выявление инцидентов • Анализ событий безопасности • Расследование инцидентов и восстановление после инцидентов • Борьба с причиной, а не с симптомами • ИБ как часть бизнес-стратегии • Защита (от) 3-х лиц • Поставщики • Клиенты • Безопасность компонентов • Закупаемых • Разрабатываемых «В 12% атак на промышленные компании были затронуты элементы АСУ ТП» (отчет по инцидентам ICS в США за 2015 год) Злоумышленники • Разбираются в технологических и орг. процессах • Проявляют активный интерес к бизнес-сценариям • Внедрение в продаваемые фирмы для «попадания» в инфраструктуру крупной компании
Кейс: (обычный) запущенный случай • Время присутствия злоумышленников в информационной системе – более 3-х лет • Одновременно – несколько групп • Признаки присутствия • Аномальные потоки данных • Фоновая активность вредоносов • Криптолокер • Получен доступ к системам ИТ защиты • Реконфигурация домена • Реконфигурация сетевых устройств и правил доступа • Злоумышленники контролируют действия по расследованию инцидента • Успевают восстановить доступ при обнаружении
Гонка осведомленности • Типичная (знакомая) ситуация • Злоумышленник предполагает наличие средств защиты • Злоумышленник активно тестирует свои инструменты на обнаружение • Что произошло: • Осведомленные Пользователи знали про фишинговые письма • Проверяли входящие письма антивирусом • … отсылали файлы на облачный антивирус на проверку • Что могло пойти не так?
Типовой сценарий: ожидайте целевых атак • Проникновение в систему • Целевой фишинг • Документы с вредоносным содержимым • Не обнаруживается антивирусом • Закрепление в системе • Устранение систем защиты • Бэкдоры, замаскированные под легитимные сетевые службы (SSH) • Планирование реализации угрозы • Анализ компонентов и архитектуры системы • Анализ «важности» захваченной системы • Подготовка к реализации угрозы • Выведение из строя средств противодействия сбоям • Запуск DDoS-атаки на колл-центры • Осуществление атаки: нарушение тех.процесса • Затруднение восстановления: удаление файлов и остановка процессов
Глобальные Кампании: атака на индустрию • Серия атак на предприятия нескольких отраслей • В нескольких регионах • Схожие признаки (тактика атакующего) • Атака начинается с фишинг-письма из банка • В приложении – троян • Цель – получение доступа, учетных данных • 130 «поражённых» компаний
А что если клиенты сыграют за нападающих? • Электро-распределительная компания рассматривает возможность внедрения «умных счетчиков» • Умный? • Канал связи (sms) • Возможность (автоматического) управления • Веб-интерфейс • Мобильное приложение • Что будет если • Скомпрометировать веб-сервис/мобильное приложение? • Подделать SMS от счетчика/на счетчик • Осуществить массовую атаку на «сеть» счетчиков • Повторять эту атаку еже-… (месячно, недельно, …, секундно)?
Positive Technologies: Approach to Oil & Gas Cybersecurity ПРИМЕР ИССЛЕДОВАНИЯ
PT Security Research: Oil Pumping Typical Infrastructure* (1/5) • OT Field Devices • PLC’s, RTU’s, Wireless gateways, etc. • Process Network Devices • Industrial switches, routers, etc. • SCADA Components • HMI’s, Historian, OPC-tunnels, etc. • Industrial safety systems • Fire, leak detection • Physical security systems • CCTV network • Intrusion detection * http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_pipeline.htm
PT Security Research: Oil Pumping Cyber Security Threats (2/5) Protocol analysis (Modbus, S7, Profinet etc) Kiosk mode escape Unauthorized access Firmware download Password cracking Access controllers Command/data sending Pipeline accident Fire protection system SCADA/HMI Pumping Infrastructure DMZ Firmware modification Denial of service Fire protection system enable or disable unauthorized False data on operators’ screens Threat to life Pipeline Idle time Pumping station Fire protection system Workstations DMZ Connection breach Control over DMZ server Damage to Environment Internal Attacker Penetration vectors Target Systems Threats Disposition
PT Security Research: Oil Refinery Typical Infrastructure* (3/5) • OT Field Devices • PLC’s, RTU’s, Wireless gateways, etc. • Process Network Devices • Industrial switches, routers, etc. • SCADA Components • HMI’s, Historian, OPC-tunnels, etc. • Integration with MES & ERP • Industrial safety systems • Fire, leak detection • Physical security systems • CCTV network • Intrusion detection * http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_refinery.htm
PT Security Research: Refinery Case Description (4/5) Based on comprehensive knowledge in SCADA/HMI software’s used in Refinery environments, we’ve been able to verify, simulate several attack scenario’s ICS Network penetration Protocol analyzed / dissection. ICS network unauthorized access using commonly exposed services (RDMS, Web Applications, RDP protocol, telnet, etc.) Vulnerabilities and Vectors Identification of weak configurations SCADA/HMI software vulnerabilities Pivoting HMI /CDU/VDU Fire Protection System Manipulation of Fire system
Real Security Analysis - Oil Refinery Research Case (5/5) WEB, RDP, DBMS, OPC Explosion plant Fire protection system Operators’ workstations CDU/VDU Denial of service Fire protection system enable or disable unauthorized False data on operators’ screens Threat to life Process interruption DMZ Connection breach Damage to environment Internal attacker ICS Network Penetration RDP, DBMS Telnet, FTP, WEB, etc MES/ERP LIMS Printers, CCTV, UPS, etc SCADA/Engineer software  Honeywell Experion PKS  Yokogawa CENTUM VP  DeltaV Emerson Process Management  Siemens WinCC / Step7  Rockwell Studio 5000  Schneider Electric InTouch / Unity Pro PLC and SIS  Honeywell C300  DeltaV MD/MD+  Yokogawa SCP/CP  Siemens Simatic S7 300/400  Schneider Electric Modicon/Quantum SCADA Safety warnings Corporate network Target Systems Threats Disposition
Positive Technologies: Практика анализа защищенности
Тесты на проникновение: реальность угроз ИБ ИТ • Инвентаризация • Управление уязвимостями • Эффективность мониторинга ИБ? Периметр 87% корпоративных локальных сетей не останавливает проникновение 61% компаний может взломать атакующий с базовыми навыками Взлом компании занимает 3-5 дней Действия пентестеров обнаруживают только в 2 из 100 тестов на проникновение 87% 61% 2% 1 неделя
Positive Technologies – Наши исследования • Более 150 000 промышленных систем оказались подключенными к Интернет • Около 15 000 из них имеют критические уязвимости https://www.ptsecurity.com/upload/ptru/analytics/ICS-Vulnerability-2016-rus.pdf
АСУ ТП: доступность через Интернет Компонент АСУ ТП Найденное количество ЧМИ/SCADA + ПЛК/ТУД (RTU) 25 264 ТУД/ПЛК 18 233 Электроизмерительный прибор 17 979 ЧМИ/SCADA 13 485 Сетевое устройство 5 016 Сенсор 907 Компонент АСУ ТП Найденное количество Конвертер интерфейсов 408 Автоматический выключатель 361 Электронное устройство 179 Инвертор 17 РЗА 9 Другие 76 229
Состояние информационной безопасности современных АСУ Более 150 000 АСУ доступны через интернет Более 10% из них содержат критически опасные уязвимости* Число кибератак на индустриальные системы за два года увеличилось на 636%** Некоторые уязвимости исправить нельзя Вечно уязвимый ESC Model 8832 *Доклад Positive Technologies 2016 **Доклад IBM X-Force 2016 10%22%20%34%14% Устранены в течение 3 месяцев Устранены более чем через 3 месяца Вендор готовит патч к выпуску Статус неизвестен, связались с вендором Не устранены
АСУ ТП: уязвимости в цифрах Высокую степень риска имеют 47% среди выявленных уязвимостей АСУ ТП Лишь 14% исправлены в течение трех месяцев Около 1/3 доступных через Интернет систем управления не защищены: лидируют системы автоматизации зданий и управления электроэнергией 47% 14% 1/3
Мировая тенденция – разрыв увеличивается Дни, часы, минуты занимает компрометация Недели, месяцы проходят до обнаружения Согласно 2015 Trustwave Global Security Report** среднее время до обнаружения вторжения/ компрометации составляет 188 дней https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf
«Большая картина» – теперь ещё больше Advanced: Акторы с максимальными возможностями …и их комбинациями Persistent: Миссия, цели Подход «Медленно и тихо» «Настойчивость» - удержание контроля, доступа к системе Threat: Возможность + Намерение = угроза APT – «Кто», а не «что» A P T События ИБ  Атаки  Инциденты  Кампании
Легенда о Воздушном Зазоре Внешние злоумышленники получают доступ к управлению технологическим процессом (ТП) с помощью социальной инженерии, вредоносного ПО и через эксплуатацию уязвимостей внешнего периметра Пример: отключение электроснабжения части украинских электросетей в декабре 2015 Низкая квалификация сотрудников, халатность, несоблюдение регламентов и правил доступа. Сотрудники предприятия вносят несанкционированные изменения в ТП и не документируют их, используют слабые пароли, записанные на бумаге, подключают к АРМ оператора USB-накопители и смартфоны. Пример: несанкционированное подключение модемов Подрядчики имеют максимальные привилегии в системе, физический или удаленный доступ на время сервисного обслуживания. Пример: подрядчик для обновления контроллеров использовал USB-диск с вредоносным ПО и заразил контроллеры
Кто и в чем виноват выяснили Что делать?
10 000+ событий ИБ Шаг #1: Защита и мониторинг ИБ ИТ Ежедневный шум: Массовые вирусные рассылки Попытки сканирования Перебор паролей … Немного серьезней: • Файлсервер заражен криптором • Троян на сервере печати 99 3 Vulnerability Management
ptsecurity.ru Продукты и Сервисы Информационной Безопасности Экспертные сервисы Анализ защищённости, тестирование на проникновение, мониторинг ИБ и расследование инцидентов Выявление атак на критически важные системы телекомов и промышленных предприятий Выявление вредоносных файлов, полученных по почте и хранящихся в корпоративных базах, десятками антивирусов PT Multiscanner PT ISIM PT SS7 Attack Discovery MaxPatrol MaxPatrol SIEM Мониторинг безопасности на всех уровнях информационной системы, а также сбор событий и анализ состояния системы Защита веб-порталов и бизнес-приложений на этапе разработки и эксплуатации PT Application Inspector PT Application Firewall
Проблема с проблемами ИБ в промышленных сетях 100% функциональная безопасность Информационная безопасность не должна нарушать технологический процесс Учет специфики Каждый технологический процесс уникален Сложность проверки гипотез об уязвимостях Нужна дублирующая площадка для проверки наличия уязвимости А кто пользователь ИБ-решений? Результаты работы ИБ-решений должны быть полезны и для технологов, и для безопасников
PT ISIM – мониторинг ИБ в АСУ ТП Понимание отраслевой специфики В системе учитываются используемые протоколы, архитектура и оборудование, типичные уязвимости ТП Сбор данных без вмешательства в технологический процесс Для мониторинга событий используются копия сетевого трафика «Умный» анализ трафика Система разбирает сетевой трафик и генерирует простой список событий, который не нужно дополнительно интерпретировать Оперативная информация на всех уровнях Отражение информации на карте техпроцесса, автоматическое уведомление об инцидентах, инструкции для оператора АСУ ТП и доступ к анализу трафика для специалистов по безопасности Механизм обнаружения распределенных во времени атак PT ISIM связывает между собой и выстраивает в цепочку отдельные события, сравнивая их с векторами типичных атак Эффективно выявляет Внутренние угрозы Внешние угрозы Ошибки конфигурации
PT ISIM: Интерпретируемость - интеллектуальный разбор трафика Протокол: IEC104, Тип информационного объекта: T1_M_SP_NA_1, причина передачи: 11, объект информации 25 в состояние 0, отправитель: 172.50.0.52, получатель: 172.50.0.72 Сообщение IEC104 от 172.50.0.52 на 172.50.0.72: «Заземляющий нож QSG2: отключен» Исходный трафик Частичная обработка событий Интеллектуальная обработка событий в трафике 0000 23 12 14 00 0f 00 f4 01 00 fe 33 00 64 a1 2c 0c 92 05 10 f5 01 00 00 34 00 64 a1 2c 0c 92 05 10 0020 f6 01 00 07 34 00 64 a1 2c 0c 92 05 10 f7 01 00 12 06 00 64 a1 2c 0c 92 05 10 f8 01 00 15 06 00 0040 64 a1 2c 0c 92 05 10 f9 01 00 14 06 00 64 a1 2c 0c 92 05 10 fa 01 00 d2 00 00 64 a1 2c 0c 92 05 0060 10 fb 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fc 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fd 01 00 ff ff 0080 00 64 a1 2c 0c 92 05 10 fe 01 00 ff ff 00 64 a1 2c 0c 92 05 10 ff 01 00 ff ff 00 64 a1 2c 0c 92 00a0 05 10 00 02 00 d2 00 00 64 a1 2c 0c 92 05 10 01 02 00 d3 00 00 64 a1 2c 0c 92 05 10 02 02 00 d3 00c0 00 00 64 a1 2c 0c 92 05 10 03 02 00 e8 03 00 64 a1 2c 0c 92 05 10 04 02 00 e8 03 00 64 a1 2c 0c
PT ISIM – Возможность анализа инцидентов
Данные об активах Уязвимости конфигурации Регистрация инцидентов ИБ Атаки на бизнес логику Журнал события безопасности Регистрация цепочек атак Провести расследование инцидентов Обнаружить злоумышленника ptsecurity.ru PT ISIM™
Итого • Инциденты в промышленных компаниях • Могут затрагивать АСУ ТП • Потенциальный высокий ущерб • Всегда важный фактор – защищенность ИТ • Злоумышленник будет активно использовать недостатки защиты • Бардак – отсутствие инвентаризации и управления уязвимостями • Отсутствие практики операционной безопасности – SOC? • Несогласованность систем и сотрудников – SIEM? • «Слепые зоны» – отсутствие контроля критических систем (АСУ ТП) – ISIM? • Шансов не стать мишенью с каждым годом – всё меньше • Консьюмеризация средств атаки • Противодействие организаций и государств в киберпространстве • «Промышленные» способы монетизации киберкриминала Защищать промышленные компании нужно и возможно – PT ISIM
ptsecurity.ru Продукты и Сервисы Информационной Безопасности Экспертные сервисы Анализ защищённости, тестирование на проникновение, мониторинг ИБ и расследование инцидентов Выявление атак на критически важные системы телекомов и промышленных предприятий Выявление вредоносных файлов, полученных по почте и хранящихся в корпоративных базах, десятками антивирусов PT Multiscanner PT ISIM PT SS7 Attack Discovery MaxPatrol MaxPatrol SIEM Мониторинг безопасности на всех уровнях информационной системы, а также сбор событий и анализ состояния системы Защита веб-порталов и бизнес-приложений на этапе разработки и эксплуатации PT Application Inspector PT Application Firewall
Спасибо за внимание! ptsecurity.ru AKachalin@ptsecurity.com Алексей Качалин
PT ISIMНовейшая система обнаружения кибератак на промышленные объекты
Уникальный продукт Понимание отраслевой специфики В системе учитываются используемые протоколы, архитектура и оборудование, типичные уязвимости ТП Сбор данных без вмешательства в технологический процесс Для мониторинга событий используются копии сетевого трафика «Умный» анализ трафика Система разбирает сетевой трафик и генерирует простой список событий, который не нужно дополнительно интерпретировать Оперативная информация на всех уровнях Отражение информации на карте техпроцесса, автоматическое уведомление об инцидентах, инструкции для оператора АСУ ТП и доступ к анализу трафика для специалистов по безопасности Механизм обнаружения распределенных во времени атак PT ISIM связывает между собой и выстраивает в цепочку отдельные события, сравнивая их с векторами типичных атак Эффективно выявляет Внутренние угрозы Внешние угрозы Ошибки конфигурации
Компоненты и варианты поставки
Компоненты PT ISIM Компоненты Назначение Связь с другими компонентами PT ISIM Industrial Tablet Вывод информации об инцидентах от серверов сбора данных Экспорт данных об инцидентах на внешний носитель Подключается по сети к View Servers PT ISIM Traffic View Server PT ISIM Basic View Server PT ISIM Pro View Server PT ISIM Full View Server PT ISIM Unified View Server Сбор, обработка и хранение первичных данных Отправка информации на серверы ситуационного центра Получают копию трафика сети, отображают информацию на Industrial Tablet, могут передавать сведения в ситуационный центр и (или) во внешние системы PT ISIM Forward Server Оптимизация передачи данных серверы ситуационного центра Подключается к View Servers и агрегируют информацию от PT ISIM, передавая их в ситуационный центр PT ISIM Overview Server Визуализация данных, поступающих с площадок Уведомление об инцидентах Отображение сводной информации по защищенности организации и каждого подразделения Интерактивное исследование данных Подключается к View Servers или Forward Server и агрегирует полученную информацию PT ISIM Forensic Server Сбор данных для расследования инцидентов с серверов сбора Восстановление последовательности событий за заданный период Интерактивный вывод информации для проведения расследования Подключается к View Servers, собирает и обрабатывает информацию об инцидентах PT ISIM Management Server Управление настройками компонентов PT ISIM Обновление компонентов PT ISIM Управляет компонентами системы, настраивает и обновляет их
Серверы сбора данных Серверы сбора данных PT ISIM Traffic View Server PT ISIM Basic View Server PT ISIM Pro View Server PT ISIM Full View Server PT ISIM Unified View Server Запись и хранение трафика + + + + + Обнаружение цепочек атак + + + + + Интеллектуальная обработка сообщений + + + + Отображение карты сети + + + Отображение инцидентов на карте тех. процесса + + + Экспорт информации для Forensic Server для расследования инцидентов + + Объединение информации с нескольких PT ISIM +
Варианты поставки программно-аппаратных комплектов Серверы для ситуационного центра Серверы первичной консолидации Серверы сбора данных Промышленный планшет Рабочая температура: 0…40 С° Сменные воздушные фильтры IP40 Рабочая температура: -25…70 С° Без вентиляторов IP40 IEC-61850-3 12" TFT LED Panel Рабочая температура: 0…60 С° Без вентиляторов IP65 Крепление на стену
Система PT ISIM поставляется в виде нескольких программно-аппаратных комплексов, тип и количество которых зависит от конкретной инфраструктуры и решаемых задач. Компоненты системы располагаются на двух уровнях. Нижний уровень: компоненты для сбора и оптимизации данных. Верхний уровень: ситуационный центр. Компоненты PT ISIM
Схема подключения – основной вариант Подключение к SPAN-порту коммутатора через диод.
Остались вопросы? Олег Матыков Руководитель направления развития продуктов для защиты приложений и промышленных сетей OMatykov@ptsecurity.com Подробнее о продукте: https://www.ptsecurity.com/ru-ru/products/isim/ Записаться на бесплатный пилот: https://www.ptsecurity.com/ru-ru/products/isim/#content-3

Recommended

Kl ics-cert-h1-2017-report
Kl ics-cert-h1-2017-reportKl ics-cert-h1-2017-report
Kl ics-cert-h1-2017-reportmalvvv
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS SecurityIlya Karpov
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1Компания УЦСБ
 
Решения по обеспечению защиты индустриальных сетей.
Решения по обеспечению защиты индустриальных сетей.Решения по обеспечению защиты индустриальных сетей.
Решения по обеспечению защиты индустриальных сетей.Cisco Russia
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...Expolink
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9Компания УЦСБ
 
Опыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахОпыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахАйдар Гилязов
 

Recommended

Kl ics-cert-h1-2017-report
Kl ics-cert-h1-2017-reportKl ics-cert-h1-2017-report
Kl ics-cert-h1-2017-reportmalvvv
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS SecurityIlya Karpov
 
Check point держи марку! Серия №1
Check point держи марку! Серия №1Check point держи марку! Серия №1
Check point держи марку! Серия №1Компания УЦСБ
 
Решения по обеспечению защиты индустриальных сетей.
Решения по обеспечению защиты индустриальных сетей.Решения по обеспечению защиты индустриальных сетей.
Решения по обеспечению защиты индустриальных сетей.Cisco Russia
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не м...Expolink
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9Компания УЦСБ
 
Опыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахОпыт расследования инцидентов в коммерческих банках
Опыт расследования инцидентов в коммерческих банкахАйдар Гилязов
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protectionSergey Soldatov
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПqqlan
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOCDenis Batrankov, CISSP
 
доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки Expolink
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
Symantec
SymantecSymantec
SymantecExpolink
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Атаки на банкоматы
Атаки на банкоматыАтаки на банкоматы
Атаки на банкоматыАйдар Гилязов
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасностиАльбина Минуллина
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеKaspersky
 
Сергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомСергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомKaspersky
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраKaspersky
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТПАльбина Минуллина
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Kaspersky
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...Компания УЦСБ
 
Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеKirill Ermakov
 
Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 

More Related Content

What's hot

Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protectionSergey Soldatov
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПqqlan
 
доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки Expolink
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемогоAleksey Lukatskiy
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеKaspersky
 
Сергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомСергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомKaspersky
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityDenis Batrankov, CISSP
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраKaspersky
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Kaspersky
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...Компания УЦСБ
 
Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеKirill Ermakov
 

What's hot (20)

Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protection
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТПМиссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
 
12 причин хорошего SOC
12 причин хорошего SOC12 причин хорошего SOC
12 причин хорошего SOC
 
доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки доктор веб: информационная безопасность. типичные ошибки
доктор веб: информационная безопасность. типичные ошибки
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)
 
Symantec
SymantecSymantec
Symantec
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
 
Атаки на банкоматы
Атаки на банкоматыАтаки на банкоматы
Атаки на банкоматы
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетикеАлександр Коротин. Безопасность систем управления турбинами в электроэнергетике
Александр Коротин. Безопасность систем управления турбинами в электроэнергетике
 
Сергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомСергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытом
 
Zero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks SecurityZero Trust Networking with Palo Alto Networks Security
Zero Trust Networking with Palo Alto Networks Security
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТП
 
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
Алексей Гуревич. Кибербезопасность систем управления современных объектов эле...
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
 
Подход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновениеПодход QIWI к проведению тестирования на проникновение
Подход QIWI к проведению тестирования на проникновение
 

Similar to Анализ инцидентов ИБ: промышленность и энергетика

Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПAleksey Lukatskiy
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Безопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспектыБезопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспектыAleksey Lukatskiy
 
Подход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктурПодход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктурКомпания УЦСБ
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииAleksey Lukatskiy
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииCisco Russia
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Expolink
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Expolink
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Cisco Russia
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПКомпания УЦСБ
 
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Cisco Russia
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атакиInfoWatch
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBБанковское обозрение
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISADenis Bezkorovayny
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days
 

Similar to Анализ инцидентов ИБ: промышленность и энергетика (20)

Анатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТПАнатомия атаки на АСУ ТП
Анатомия атаки на АСУ ТП
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Безопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспектыБезопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспекты
 
Подход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктурПодход Лаборатории Касперского к защите критических инфраструктур
Подход Лаборатории Касперского к защите критических инфраструктур
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Кибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденцииКибербезопасность Industrial IoT: мировые тенденции
Кибербезопасность Industrial IoT: мировые тенденции
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
Н.Романов (Trend micro) - Скрытые угрозы: можно ли тайное сделать явным?
 
Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности Как превратить свою сеть в систему информационной безопасности
Как превратить свою сеть в систему информационной безопасности
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 
Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока Анализ реального взлома нефтяной компании с Ближнего Востока
Анализ реального взлома нефтяной компании с Ближнего Востока
 
Целенаправленные атаки
Целенаправленные атакиЦеленаправленные атаки
Целенаправленные атаки
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
Positive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойныPositive Hack Days. Гордейчик. Оружие кибервойны
Positive Hack Days. Гордейчик. Оружие кибервойны
 

More from Alexey Kachalin

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Alexey Kachalin
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)Alexey Kachalin
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и довериеAlexey Kachalin
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017Alexey Kachalin
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыAlexey Kachalin
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Alexey Kachalin
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБAlexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Alexey Kachalin
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Alexey Kachalin
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияAlexey Kachalin
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Alexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 

More from Alexey Kachalin (20)

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и доверие
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспекты
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБ
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестирования
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 

Анализ инцидентов ИБ: промышленность и энергетика

  • 2. Атаки на АСУ ТП – «инновация»?
  • 3. Атаки на АСУ ТП – «инновация»? 1982: "Farewell Dossier", the CIA was involved in the sale of 'altered' products and equipment to the Soviet Union. • "Contrived computer chips found their way into Soviet military equipment, flawed turbines were installed on a gas pipeline, and defective plans disrupted the output of chemical plants and a tractor factory." • "The pipeline software that was to run the pumps, turbines and valves was programmed to go haywire, to reset pump speeds and valve settings to produce pressures far beyond those acceptable to the pipeline joints and welds. The result was the most monumental non-nuclear explosion and fire ever seen from space."
  • 4. 90-е – 2000: точечные (случайные) заражения When Organization Under Attack Virus Name Virus Functionality Physical Impact 2003 Davis-Besse Nuclear Power Station, USA Slammer Slows down the network. Motive : Denial of Service, Propagation None. Although, Slammer downed the SCADA network on another utility (undisclosed). (Source) 2003 CSX Corporation, USA Sobig Sends out Spam via e-mail. Motive : Spam, Propagation The virus infected a computer system in the company's headquarters, shutting down signalling, dispatching and other systems. Train Delays were caused as a result of this. (Source) 2004 British Airways, Railcorp, Delta Airlines Sasser Exploits a buffer overflow vulnerability to propagate to other vulnerable systems. Some aggressive variants can cause network congestion. Motive : Propagation Train and flight delays and flight cancellations in some cases. (Source) 2009 French Navy Conficker Exploits a Windows vulnerability, or performs dictionary attacks for administrator passwords to install itself. It propagates to other vulnerable machines, self- updates and downloads & installs further malware. Motive : Propagation, Installation of other malware. Failure to download flight plans leading to grounded aircrafts. (Source)
  • 5. 2010-е – угрозы набирают обороты When Organization(s) Under Attack Virus Name Virus Functionality Physical Impact 2009 Exxon, Shell, BP, among others Night Dragon Remote Access Trojans (RATs) distributed using spearphishing. (Source) Motive : Data stealing/spying, Propagation None. (Although, it is reported that attackers exfiltrated operational blueprints for SCADA systems and even collected data from them.) 2010 Iran's Natanz nuclear facility Stuxnet Intercepts and makes changes to data read from and writen to a PLC. (Source) Motive : Destruction Destroyed a fifth of Iran's nuclear centrifuges. 2014 No reported cases Havex Distributed as Trojanized ICS/SCADA software downloads from compromised vendor websites, it scans the LAN for OPC servers and sends collected data to a Command and Control (C&C) server. (Source) Motive : Data stealing/Spying None 2014 No reported cases Blacken Found on a C&C server for an existing botnet of the Sandworm Team, it targets users of the SCADA software, GE Cimplicity, and installs executables to the software's home directory. Some of these executables are bots that can be commanded remotely. It also references Cimatics design files but their exact use is not yet understood. (Source) Unknown (due to missing files on the C&C) 2014 No reported cases (Unconf irmed) Disguised as Trojanized SCADA/ICS software updates (e.g. Siemens Simatic WinCC, GE Cimplicity, and Advantech) , these files are basically traditional Banking Trojans. (Source) Motive : Spying/Data stealing None
  • 6. Угрозы ИБ для промышленности актуальны? … или зачем говорить о киберугрозах, если есть сотня способов нарушить работу промышленных систем при помощи молотка и… и даже без молотка «То что в этом здании всё ещё горит свет – это не наша заслуга, а чья-то недоработка» Руководитель ИБ одной уважаемой энергетической компании
  • 7. Тренды угроз: анализ FY2015 (США) 295 крупных инцидентов (15% рост) • 46 – энергетика • 97 инцидентов c «участием» поставщиков оборудования и сервисов • В 106 случаях - использовались вредоносы и целевой фишинг • В 12% были затронуты компоненты АСУ ТП Специфика «кибер» угроз • Тиражируемость • Управляемость по времени • Повторяемость • Взаимозависимость и объединение ИТ и АСУ ТП - ОТ • Новые возможности/мотивация атакующих http://www.darkreading.com/attacks-bre
  • 8. С начала: Промышленная, но всё же Компания • Предотвращение атак и инцидентов • Инвентаризация • Уязвимости, управление уязвимостями • Выявление уязвимостей, безопасная разработка • Осведомленность сотрудников • Мониторинг безопасности и выявление инцидентов • Анализ событий безопасности • Расследование инцидентов и восстановление после инцидентов • Борьба с причиной, а не с симптомами • ИБ как часть бизнес-стратегии • Защита (от) 3-х лиц • Поставщики • Клиенты • Безопасность компонентов • Закупаемых • Разрабатываемых «В 12% атак на промышленные компании были затронуты элементы АСУ ТП» (отчет по инцидентам ICS в США за 2015 год) Злоумышленники • Разбираются в технологических и орг. процессах • Проявляют активный интерес к бизнес-сценариям • Внедрение в продаваемые фирмы для «попадания» в инфраструктуру крупной компании
  • 9. Кейс: (обычный) запущенный случай • Время присутствия злоумышленников в информационной системе – более 3-х лет • Одновременно – несколько групп • Признаки присутствия • Аномальные потоки данных • Фоновая активность вредоносов • Криптолокер • Получен доступ к системам ИТ защиты • Реконфигурация домена • Реконфигурация сетевых устройств и правил доступа • Злоумышленники контролируют действия по расследованию инцидента • Успевают восстановить доступ при обнаружении
  • 10. Гонка осведомленности • Типичная (знакомая) ситуация • Злоумышленник предполагает наличие средств защиты • Злоумышленник активно тестирует свои инструменты на обнаружение • Что произошло: • Осведомленные Пользователи знали про фишинговые письма • Проверяли входящие письма антивирусом • … отсылали файлы на облачный антивирус на проверку • Что могло пойти не так?
  • 11. Типовой сценарий: ожидайте целевых атак • Проникновение в систему • Целевой фишинг • Документы с вредоносным содержимым • Не обнаруживается антивирусом • Закрепление в системе • Устранение систем защиты • Бэкдоры, замаскированные под легитимные сетевые службы (SSH) • Планирование реализации угрозы • Анализ компонентов и архитектуры системы • Анализ «важности» захваченной системы • Подготовка к реализации угрозы • Выведение из строя средств противодействия сбоям • Запуск DDoS-атаки на колл-центры • Осуществление атаки: нарушение тех.процесса • Затруднение восстановления: удаление файлов и остановка процессов
  • 12. Глобальные Кампании: атака на индустрию • Серия атак на предприятия нескольких отраслей • В нескольких регионах • Схожие признаки (тактика атакующего) • Атака начинается с фишинг-письма из банка • В приложении – троян • Цель – получение доступа, учетных данных • 130 «поражённых» компаний
  • 13. А что если клиенты сыграют за нападающих? • Электро-распределительная компания рассматривает возможность внедрения «умных счетчиков» • Умный? • Канал связи (sms) • Возможность (автоматического) управления • Веб-интерфейс • Мобильное приложение • Что будет если • Скомпрометировать веб-сервис/мобильное приложение? • Подделать SMS от счетчика/на счетчик • Осуществить массовую атаку на «сеть» счетчиков • Повторять эту атаку еже-… (месячно, недельно, …, секундно)?
  • 14. Positive Technologies: Approach to Oil & Gas Cybersecurity ПРИМЕР ИССЛЕДОВАНИЯ
  • 15. PT Security Research: Oil Pumping Typical Infrastructure* (1/5) • OT Field Devices • PLC’s, RTU’s, Wireless gateways, etc. • Process Network Devices • Industrial switches, routers, etc. • SCADA Components • HMI’s, Historian, OPC-tunnels, etc. • Industrial safety systems • Fire, leak detection • Physical security systems • CCTV network • Intrusion detection * http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_pipeline.htm
  • 16. PT Security Research: Oil Pumping Cyber Security Threats (2/5) Protocol analysis (Modbus, S7, Profinet etc) Kiosk mode escape Unauthorized access Firmware download Password cracking Access controllers Command/data sending Pipeline accident Fire protection system SCADA/HMI Pumping Infrastructure DMZ Firmware modification Denial of service Fire protection system enable or disable unauthorized False data on operators’ screens Threat to life Pipeline Idle time Pumping station Fire protection system Workstations DMZ Connection breach Control over DMZ server Damage to Environment Internal Attacker Penetration vectors Target Systems Threats Disposition
  • 17. PT Security Research: Oil Refinery Typical Infrastructure* (3/5) • OT Field Devices • PLC’s, RTU’s, Wireless gateways, etc. • Process Network Devices • Industrial switches, routers, etc. • SCADA Components • HMI’s, Historian, OPC-tunnels, etc. • Integration with MES & ERP • Industrial safety systems • Fire, leak detection • Physical security systems • CCTV network • Intrusion detection * http://www.moxa.com/Event/Net/2010/Oil_and_gas_2010/solution_refinery.htm
  • 18. PT Security Research: Refinery Case Description (4/5) Based on comprehensive knowledge in SCADA/HMI software’s used in Refinery environments, we’ve been able to verify, simulate several attack scenario’s ICS Network penetration Protocol analyzed / dissection. ICS network unauthorized access using commonly exposed services (RDMS, Web Applications, RDP protocol, telnet, etc.) Vulnerabilities and Vectors Identification of weak configurations SCADA/HMI software vulnerabilities Pivoting HMI /CDU/VDU Fire Protection System Manipulation of Fire system
  • 19. Real Security Analysis - Oil Refinery Research Case (5/5) WEB, RDP, DBMS, OPC Explosion plant Fire protection system Operators’ workstations CDU/VDU Denial of service Fire protection system enable or disable unauthorized False data on operators’ screens Threat to life Process interruption DMZ Connection breach Damage to environment Internal attacker ICS Network Penetration RDP, DBMS Telnet, FTP, WEB, etc MES/ERP LIMS Printers, CCTV, UPS, etc SCADA/Engineer software  Honeywell Experion PKS  Yokogawa CENTUM VP  DeltaV Emerson Process Management  Siemens WinCC / Step7  Rockwell Studio 5000  Schneider Electric InTouch / Unity Pro PLC and SIS  Honeywell C300  DeltaV MD/MD+  Yokogawa SCP/CP  Siemens Simatic S7 300/400  Schneider Electric Modicon/Quantum SCADA Safety warnings Corporate network Target Systems Threats Disposition
  • 21. Тесты на проникновение: реальность угроз ИБ ИТ • Инвентаризация • Управление уязвимостями • Эффективность мониторинга ИБ? Периметр 87% корпоративных локальных сетей не останавливает проникновение 61% компаний может взломать атакующий с базовыми навыками Взлом компании занимает 3-5 дней Действия пентестеров обнаруживают только в 2 из 100 тестов на проникновение 87% 61% 2% 1 неделя
  • 22. Positive Technologies – Наши исследования • Более 150 000 промышленных систем оказались подключенными к Интернет • Около 15 000 из них имеют критические уязвимости https://www.ptsecurity.com/upload/ptru/analytics/ICS-Vulnerability-2016-rus.pdf
  • 23. АСУ ТП: доступность через Интернет Компонент АСУ ТП Найденное количество ЧМИ/SCADA + ПЛК/ТУД (RTU) 25 264 ТУД/ПЛК 18 233 Электроизмерительный прибор 17 979 ЧМИ/SCADA 13 485 Сетевое устройство 5 016 Сенсор 907 Компонент АСУ ТП Найденное количество Конвертер интерфейсов 408 Автоматический выключатель 361 Электронное устройство 179 Инвертор 17 РЗА 9 Другие 76 229
  • 24. Состояние информационной безопасности современных АСУ Более 150 000 АСУ доступны через интернет Более 10% из них содержат критически опасные уязвимости* Число кибератак на индустриальные системы за два года увеличилось на 636%** Некоторые уязвимости исправить нельзя Вечно уязвимый ESC Model 8832 *Доклад Positive Technologies 2016 **Доклад IBM X-Force 2016 10%22%20%34%14% Устранены в течение 3 месяцев Устранены более чем через 3 месяца Вендор готовит патч к выпуску Статус неизвестен, связались с вендором Не устранены
  • 25. АСУ ТП: уязвимости в цифрах Высокую степень риска имеют 47% среди выявленных уязвимостей АСУ ТП Лишь 14% исправлены в течение трех месяцев Около 1/3 доступных через Интернет систем управления не защищены: лидируют системы автоматизации зданий и управления электроэнергией 47% 14% 1/3
  • 26. Мировая тенденция – разрыв увеличивается Дни, часы, минуты занимает компрометация Недели, месяцы проходят до обнаружения Согласно 2015 Trustwave Global Security Report** среднее время до обнаружения вторжения/ компрометации составляет 188 дней https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf
  • 27. «Большая картина» – теперь ещё больше Advanced: Акторы с максимальными возможностями …и их комбинациями Persistent: Миссия, цели Подход «Медленно и тихо» «Настойчивость» - удержание контроля, доступа к системе Threat: Возможность + Намерение = угроза APT – «Кто», а не «что» A P T События ИБ  Атаки  Инциденты  Кампании
  • 28. Легенда о Воздушном Зазоре Внешние злоумышленники получают доступ к управлению технологическим процессом (ТП) с помощью социальной инженерии, вредоносного ПО и через эксплуатацию уязвимостей внешнего периметра Пример: отключение электроснабжения части украинских электросетей в декабре 2015 Низкая квалификация сотрудников, халатность, несоблюдение регламентов и правил доступа. Сотрудники предприятия вносят несанкционированные изменения в ТП и не документируют их, используют слабые пароли, записанные на бумаге, подключают к АРМ оператора USB-накопители и смартфоны. Пример: несанкционированное подключение модемов Подрядчики имеют максимальные привилегии в системе, физический или удаленный доступ на время сервисного обслуживания. Пример: подрядчик для обновления контроллеров использовал USB-диск с вредоносным ПО и заразил контроллеры
  • 29. Кто и в чем виноват выяснили Что делать?
  • 30. 10 000+ событий ИБ Шаг #1: Защита и мониторинг ИБ ИТ Ежедневный шум: Массовые вирусные рассылки Попытки сканирования Перебор паролей … Немного серьезней: • Файлсервер заражен криптором • Троян на сервере печати 99 3 Vulnerability Management
  • 31. ptsecurity.ru Продукты и Сервисы Информационной Безопасности Экспертные сервисы Анализ защищённости, тестирование на проникновение, мониторинг ИБ и расследование инцидентов Выявление атак на критически важные системы телекомов и промышленных предприятий Выявление вредоносных файлов, полученных по почте и хранящихся в корпоративных базах, десятками антивирусов PT Multiscanner PT ISIM PT SS7 Attack Discovery MaxPatrol MaxPatrol SIEM Мониторинг безопасности на всех уровнях информационной системы, а также сбор событий и анализ состояния системы Защита веб-порталов и бизнес-приложений на этапе разработки и эксплуатации PT Application Inspector PT Application Firewall
  • 32. Проблема с проблемами ИБ в промышленных сетях 100% функциональная безопасность Информационная безопасность не должна нарушать технологический процесс Учет специфики Каждый технологический процесс уникален Сложность проверки гипотез об уязвимостях Нужна дублирующая площадка для проверки наличия уязвимости А кто пользователь ИБ-решений? Результаты работы ИБ-решений должны быть полезны и для технологов, и для безопасников
  • 33. PT ISIM – мониторинг ИБ в АСУ ТП Понимание отраслевой специфики В системе учитываются используемые протоколы, архитектура и оборудование, типичные уязвимости ТП Сбор данных без вмешательства в технологический процесс Для мониторинга событий используются копия сетевого трафика «Умный» анализ трафика Система разбирает сетевой трафик и генерирует простой список событий, который не нужно дополнительно интерпретировать Оперативная информация на всех уровнях Отражение информации на карте техпроцесса, автоматическое уведомление об инцидентах, инструкции для оператора АСУ ТП и доступ к анализу трафика для специалистов по безопасности Механизм обнаружения распределенных во времени атак PT ISIM связывает между собой и выстраивает в цепочку отдельные события, сравнивая их с векторами типичных атак Эффективно выявляет Внутренние угрозы Внешние угрозы Ошибки конфигурации
  • 34. PT ISIM: Интерпретируемость - интеллектуальный разбор трафика Протокол: IEC104, Тип информационного объекта: T1_M_SP_NA_1, причина передачи: 11, объект информации 25 в состояние 0, отправитель: 172.50.0.52, получатель: 172.50.0.72 Сообщение IEC104 от 172.50.0.52 на 172.50.0.72: «Заземляющий нож QSG2: отключен» Исходный трафик Частичная обработка событий Интеллектуальная обработка событий в трафике 0000 23 12 14 00 0f 00 f4 01 00 fe 33 00 64 a1 2c 0c 92 05 10 f5 01 00 00 34 00 64 a1 2c 0c 92 05 10 0020 f6 01 00 07 34 00 64 a1 2c 0c 92 05 10 f7 01 00 12 06 00 64 a1 2c 0c 92 05 10 f8 01 00 15 06 00 0040 64 a1 2c 0c 92 05 10 f9 01 00 14 06 00 64 a1 2c 0c 92 05 10 fa 01 00 d2 00 00 64 a1 2c 0c 92 05 0060 10 fb 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fc 01 00 d3 00 00 64 a1 2c 0c 92 05 10 fd 01 00 ff ff 0080 00 64 a1 2c 0c 92 05 10 fe 01 00 ff ff 00 64 a1 2c 0c 92 05 10 ff 01 00 ff ff 00 64 a1 2c 0c 92 00a0 05 10 00 02 00 d2 00 00 64 a1 2c 0c 92 05 10 01 02 00 d3 00 00 64 a1 2c 0c 92 05 10 02 02 00 d3 00c0 00 00 64 a1 2c 0c 92 05 10 03 02 00 e8 03 00 64 a1 2c 0c 92 05 10 04 02 00 e8 03 00 64 a1 2c 0c
  • 35. PT ISIM – Возможность анализа инцидентов
  • 36. Данные об активах Уязвимости конфигурации Регистрация инцидентов ИБ Атаки на бизнес логику Журнал события безопасности Регистрация цепочек атак Провести расследование инцидентов Обнаружить злоумышленника ptsecurity.ru PT ISIM™
  • 37. Итого • Инциденты в промышленных компаниях • Могут затрагивать АСУ ТП • Потенциальный высокий ущерб • Всегда важный фактор – защищенность ИТ • Злоумышленник будет активно использовать недостатки защиты • Бардак – отсутствие инвентаризации и управления уязвимостями • Отсутствие практики операционной безопасности – SOC? • Несогласованность систем и сотрудников – SIEM? • «Слепые зоны» – отсутствие контроля критических систем (АСУ ТП) – ISIM? • Шансов не стать мишенью с каждым годом – всё меньше • Консьюмеризация средств атаки • Противодействие организаций и государств в киберпространстве • «Промышленные» способы монетизации киберкриминала Защищать промышленные компании нужно и возможно – PT ISIM
  • 38. ptsecurity.ru Продукты и Сервисы Информационной Безопасности Экспертные сервисы Анализ защищённости, тестирование на проникновение, мониторинг ИБ и расследование инцидентов Выявление атак на критически важные системы телекомов и промышленных предприятий Выявление вредоносных файлов, полученных по почте и хранящихся в корпоративных базах, десятками антивирусов PT Multiscanner PT ISIM PT SS7 Attack Discovery MaxPatrol MaxPatrol SIEM Мониторинг безопасности на всех уровнях информационной системы, а также сбор событий и анализ состояния системы Защита веб-порталов и бизнес-приложений на этапе разработки и эксплуатации PT Application Inspector PT Application Firewall
  • 40. PT ISIMНовейшая система обнаружения кибератак на промышленные объекты
  • 41. Уникальный продукт Понимание отраслевой специфики В системе учитываются используемые протоколы, архитектура и оборудование, типичные уязвимости ТП Сбор данных без вмешательства в технологический процесс Для мониторинга событий используются копии сетевого трафика «Умный» анализ трафика Система разбирает сетевой трафик и генерирует простой список событий, который не нужно дополнительно интерпретировать Оперативная информация на всех уровнях Отражение информации на карте техпроцесса, автоматическое уведомление об инцидентах, инструкции для оператора АСУ ТП и доступ к анализу трафика для специалистов по безопасности Механизм обнаружения распределенных во времени атак PT ISIM связывает между собой и выстраивает в цепочку отдельные события, сравнивая их с векторами типичных атак Эффективно выявляет Внутренние угрозы Внешние угрозы Ошибки конфигурации
  • 43. Компоненты PT ISIM Компоненты Назначение Связь с другими компонентами PT ISIM Industrial Tablet Вывод информации об инцидентах от серверов сбора данных Экспорт данных об инцидентах на внешний носитель Подключается по сети к View Servers PT ISIM Traffic View Server PT ISIM Basic View Server PT ISIM Pro View Server PT ISIM Full View Server PT ISIM Unified View Server Сбор, обработка и хранение первичных данных Отправка информации на серверы ситуационного центра Получают копию трафика сети, отображают информацию на Industrial Tablet, могут передавать сведения в ситуационный центр и (или) во внешние системы PT ISIM Forward Server Оптимизация передачи данных серверы ситуационного центра Подключается к View Servers и агрегируют информацию от PT ISIM, передавая их в ситуационный центр PT ISIM Overview Server Визуализация данных, поступающих с площадок Уведомление об инцидентах Отображение сводной информации по защищенности организации и каждого подразделения Интерактивное исследование данных Подключается к View Servers или Forward Server и агрегирует полученную информацию PT ISIM Forensic Server Сбор данных для расследования инцидентов с серверов сбора Восстановление последовательности событий за заданный период Интерактивный вывод информации для проведения расследования Подключается к View Servers, собирает и обрабатывает информацию об инцидентах PT ISIM Management Server Управление настройками компонентов PT ISIM Обновление компонентов PT ISIM Управляет компонентами системы, настраивает и обновляет их
  • 44. Серверы сбора данных Серверы сбора данных PT ISIM Traffic View Server PT ISIM Basic View Server PT ISIM Pro View Server PT ISIM Full View Server PT ISIM Unified View Server Запись и хранение трафика + + + + + Обнаружение цепочек атак + + + + + Интеллектуальная обработка сообщений + + + + Отображение карты сети + + + Отображение инцидентов на карте тех. процесса + + + Экспорт информации для Forensic Server для расследования инцидентов + + Объединение информации с нескольких PT ISIM +
  • 45. Варианты поставки программно-аппаратных комплектов Серверы для ситуационного центра Серверы первичной консолидации Серверы сбора данных Промышленный планшет Рабочая температура: 0…40 С° Сменные воздушные фильтры IP40 Рабочая температура: -25…70 С° Без вентиляторов IP40 IEC-61850-3 12" TFT LED Panel Рабочая температура: 0…60 С° Без вентиляторов IP65 Крепление на стену
  • 46. Система PT ISIM поставляется в виде нескольких программно-аппаратных комплексов, тип и количество которых зависит от конкретной инфраструктуры и решаемых задач. Компоненты системы располагаются на двух уровнях. Нижний уровень: компоненты для сбора и оптимизации данных. Верхний уровень: ситуационный центр. Компоненты PT ISIM
  • 47. Схема подключения – основной вариант Подключение к SPAN-порту коммутатора через диод.
  • 48. Остались вопросы? Олег Матыков Руководитель направления развития продуктов для защиты приложений и промышленных сетей OMatykov@ptsecurity.com Подробнее о продукте: https://www.ptsecurity.com/ru-ru/products/isim/ Записаться на бесплатный пилот: https://www.ptsecurity.com/ru-ru/products/isim/#content-3

Editor's Notes

  1. Unintentional Targets Several SCADA systems have come under attack by viruses that weren't specifically looking for them but happened to find them. The table below recaps only a few. Seen in the figure below is an example of a Security compromised SCADA Network.
  2. https://blog.fortinet.com/2015/02/12/known-scada-attacks-over-the-years
  3. http://www.darkreading.com/attacks-breaches/ransomware-scada-access-as-a-service-emerging-threats-for-ics-operators-report-says/d/d-id/1325952
  4. Positive Technologies researchers have simulated what an internal attacker could achieve. Here’s major findings in a Oil Pumping infrastructure: Communication chain Protocol analyzed / dissection. Identification of data in transit. Identification of specific crafted package to send to affect pump functioning, general systems functioning SCADA ecosystem variation Identification of method to download equipment’s firmware and upload a crafted one Kiosk invalidation Identification on how to get access to the kiosk mode Performed unauthorized operation over kiosk operating system Exiting from Kiosk mode Implement network and application attacks Security measures / breaking availability Local and remote ability to authenticate in OT infrastructure Ability to manipulate business and security processes
  5. План реагирования на инциденты Проверка планов в «спокойных условиях»
  6. Долгосрочные «проекты» атакующих Вектор по объекту Вектор по технологии Комплексные атаки, составляющие инцидент Кампании (Adversary Campaign) Целевые Массовые Комбинированные (массово-целевые)
  7. Ежедневные атаки Вирусы в сети/в почте Соц. Инженерия (почта, веб) Атаки на веб-ресурсы Инциденты Заражение файлового сервера шифровальщиком Заражение сервера печати – утечка информации Кампании APT-1 (предположительно Китай) – 9 мес. APT-2 (предположительно США) – 1,5 года APT-3 – признаки возможности доступа, несколькими способами
  8. Рассказать про сбор данных из syslog или PCAP.