УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Какие решения защищают промышленность от киберпреступников и катастроф

        Какие решения защищают промышленность от киберпреступников и катастроф

        11 сентября 2020
        Новости

        Проблемы обеспечения информационной безопасности в АСУ ТП сегодня оказались как никогда актуальными. Источник этих проблем заключается не только в постоянно растущем количестве информационных атак на системы автоматизации и ужесточении требований по защите таких объектов (например, законодательные требования по защите значимых объектов критической информационной инфраструктуры и критически важных объектов), но и в недостатке практических наработок по защите подобных систем.

        В СМИ представлен широкий спектр теоретических и зачастую недостаточно подкрепленных практикой материалов о подходах к разработке и созданию систем защиты информации АСУ ТП. Авторы данной статьи решили восполнить этот недостаток, поделиться не только своим подходом к решению этой задачи, но и практическими кейсами эксплуатации специализированных систем защиты информации в АСУ ТП.

        Какие риски несет нарушение безопасности АСУ ТП:

        1. Локальные аварии и крупные техногенные катастрофы.
        2. Крупные экономические риски вследствие нарушения технологических и производственных процессов предприятия.
        3. Мошенничество и хищение посредством скомпрометированных АСУ ТП.

        Подход УЦСБ к решению задачи заключается в построении комплексной системы защиты информации АСУ ТП, неотъемлемой функцией которой является непрерывный и всесторонний мониторинг состояния ИБ АСУ ТП. При этом учитываются такие особенности защищаемых систем, как:

        • наличие специализированного оборудования, программного обеспечения (ПО) и протоколов передачи данных;
        • наличие распределенных, изолированных АСУ ТП и других особенностей архитектуры;
        • требование обеспечить отсутствие влияния средств защиты информации на технологический процесс.

        Описанный подход реализован в DATAPK — отечественном решении, разработанном компанией УЦСБ и сертифицированном ФСТЭК России.


        Основной принцип функционирования DATAPK — непрерывное отслеживание различных показателей функционирования защищаемого объекта на предмет отклонений от безопасного эталонного состояния. С точки зрения функциональности DATAPK позволяет проводить автоматизированную инвентаризацию объектов защиты, управлять событиями безопасности, связанными с АСУ ТП, выявлять связанные с ними сетевые аномалии и контролировать компоненты АСУ ТП на предмет соответствия требованиям информационной безопасности предприятия.

        Особенностью DATAPK является связывание результатов анализа разнородных данных (сетевой трафик, события, конфигурации, состояние защищенности) воедино с целью получения полной картины состояния ИБ в АСУ ТП и реализации широкого перечня мер по обеспечению безопасности КИИ, в т. ч. приведенных в приказе ФСТЭК России №239 от 27 декабря 2017 г.

        Рисунок1.png

        «Массовые внедрения DATAPK на объектах заказчиков из различных сфер промышленности начались в 2017 году. С первыми внедрениями мы начали решать реальные проблемы, с которыми сталкиваются заказчики на действующих производствах и непрерывно функционирующих АСУ ТП», — рассказывает Алексей Шанин, директор лаборатории DATAPK.

        Что дает аудит сети АСУ ТП

        В УЦСБ отмечают, что одной из основополагающих функций DATAPK является пассивный анализ сетевого трафика, который позволяет получать сведения о составе узлов, подключенных к сети передачи данных, потоках данных, которыми узлы обмениваются между собой, а также о наличии признаков атак киберпреступников или небезопасных настройках компонентов АСУ ТП.

        В ходе одного из внедрений DATAPK, несмотря на то, что специалисты компании-заказчика полагали, что они осведомлены о том, какие сетевые устройства подключены к сети АСУ ТП и каким сетевым трафиком они обмениваются, проведенный анализ показал, что службе автоматизации известны лишь 20% этого трафика, а еще столько же было распознано как стандартный служебный трафик сети. Вместе с тем, некоторая часть трафика являлась нарушением политик безопасности, другая — вызвала сомнения в легитимности. Был и такой трафик, о котором служба автоматизации не знала ничего.

        В нелегальном трафике были обнаружены потоки данных двух видов: созданные средствами удаленного администрирования и созданные смартфонами, слабо относящимися к функционированию АСУ ТП.

        «Попутно мы выявили ряд нарушений политики безопасности, в частности, нелегитимное использование общих файловых ресурсов, а также использование небезопасных протоколов (SNMP v1, telnet и пр.). Дальнейшие действия компании-заказчика были направлены на устранение выявленных недостатков, и, как следствие, повышение уровня защищенности АСУ ТП», — уточняет Алексей Шанин.

        Что можно найти в характеристиках объектов защиты

        Понятно, что в АСУ ТП зачастую применяются не только не самые современные средства вычислительной техники, но и даже откровенно устаревшие. На них работают аналогичные версии общего и специального ПО, которые могут быть весьма уязвимы. Их обновление — рискованная затея, которая может обернуться серьезными нарушениями в работе аппаратных платформ и самих автоматизированных систем. Кроме того, обновление не всегда возможно, поскольку речь может идти о программном обеспечении, разработанном уже несуществующим производителем. Модернизация же оборудования требует дополнительного финансирования и экономически не всегда оправдана.

        Вследствие указанных причин, а также из-за, к сожалению, часто оправданных опасений потенциального негативного влияния на технологические процессы многие предприятия отказываются от использования антивирусов в промышленных сегментах своей сети. Риск заражения вредоносным программным обеспечением при этом остается, и для его снижения необходимо принимать иные компенсирующие меры.

        «Один из наших заказчиков на АРМ (автоматизированное рабочее место) АСУ ТП косвенными способами выявил наличие вирусного заражения, как оказалось, довольно старым вредоносным ПО. Наша задача заключалась в том, чтобы найти все зараженные АРМ и серверы, в которые «червю» удалось проникнуть. Поиск осуществлялся централизованно с помощью комплекса DATAPK по спискам процессов всех объектов защиты, подключенных к системе мониторинга ИБ АСУ ТП. Нужно было найти все объекты защиты, на которых появлялись процессы вредоносного ПО», — вспоминает Алексей Шанин.

        11111.png

        В итоге на предприятии были обнаружены зараженные АРМ и серверы на различных производственных площадках нескольких заводов заказчика, после чего были приняты меры по удалению вредоносного ПО. Антивирусное решение при этом не потребовалось.

        Как собрать данные с устаревшего оборудования

        Другая грань проблемы устаревшего оборудования — сбор данных с нетрадиционных устройств (чересчур современных в сравнении с остальной инфраструктурой или наоборот) при построении системы мониторинга безопасности АСУ ТП. Ситуация может усугубляться отсутствием альтернативных способов получения хотя бы косвенной информации о значимых с точки зрения информационной безопасности параметрах устройств: скудность информации, передаваемой по SNMP, и отсутствие поддержки Syslog. ИБ-вендоры в подобных ситуациях делают заключение о том, что следовало заменить такое оборудование несколько лет назад, либо обещают закрыть вопрос патчами, но этот процесс растягивается на годы. К решению проблемы компанию это никак не приближает, более того — делает риски куда более очерченными.

        «В комплексе DATAPK реализован конфигурируемый сбор данных (конфигурации, события, состояние защищенности). Без привлечения разработчиков — силами проводящего внедрение интегратора или даже самостоятельно с помощью консультаций технической поддержки — можно реализовать сбор данных с произвольного объекта защиты путем создания скрипта сбора данных, либо модификации существующего скрипта. Единственное ограничение — объект защиты должен быть доступен по одному из протоколов: MSRPC (в т. ч. WMI), WinRM, SSH, Telnet, SNMP, SMB, SCP, FTP, NFS, MSSQL, Oracle DB, MySQL, PostgreSQL, Firebird, S7comm, PROFINET, Modbus TCP, OPC UA и некоторых других», — указывает Алексей Шанин.

        При этом скрипты сбора данных подписываются электронной подписью, вследствие чего их несанкционированное изменение и запуск на DATAPK невозможны.

        «В продолжение разговора о гибкости DATAPK приведу пример из одного из пилотных внедрений, когда АСУ ТП одного из именитых производителей не использовала стек протоколов TCP/IP. В данном случае нам потребовался образец трафика и 15 минут работы нашей лаборатории для того, чтобы обеспечить разбор протокола средством глубокой инспекции пакетов и выявление запрещенных команд в адрес ПЛК (программируемый логический контроллер)», — заключает Алексей Шанин.

        ______________________
        Источник: Интернет-издание CNews

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы