Всех приветствую!
И так сегодня разберем базовую сетевую архитектуру АСУ ТП/ICS и какие сервисы должны располагаться на всех уровнях архитектуры, во избежание компрометации нашего предприятия злоумышленниками.
Многие думают, что сегмент АСУ ТП привлекателен только для APT группировок но это не совсем так, присутствие не квалифицированного персонала так же дает о себе знать. Тут можно посмотреть, как через всеми любимый
Автоматизированные системы управления технологическим процессом АСУ ТП/ICS являются неотъемлемой частью критически важных инфраструктур, помогая облегчить множество операции в таких важных отраслях, как электроэнергия, нефть и газ, вода, транспорт, производство и химическое производство. Растущая проблема кибербезопасности и ее влияние на АСУ ТП/ICS выдвигает на первый план большие риски для критической инфраструктуры (КИИ) которые выражены в следующем:
И так давайте рассмотрим рекомендуемый дизайн сетевой архитекторы АСУ ТП/ICS.
И так разуберём все уровни данной архитектуре:
L0: Размещены исполнительные механизмы датчики и тд… устройства которые непосредственно передают сигнал через модули ввода вывода на ПЛК.
L1: ПЛК и их элементы управления ввода вывода.
L2: Системы для локального удаленного управления технологической зоной, операторские станции, HMI.
Приоритет этих уровней очень высок, поскольку это область, где функции управления влияют на физические конечные устройства. Также на данных уровнях могут быть реализованы системы безопасности (SIS), которые автоматически контролируют уровень безопасности с конечных устройств, отклонение от уставок и тд…
При правильном проектирование, SIS следует размещать в отдельной сети, чтобы в случае возникновения инцидента в первичной сети АСУ ТП\ICS системы безопасности продолжали функционировать и не подвергались риску компрометации.
L3: На данном уровне расположены сервисы которые не нуждаться взаимодействия с внешними сетями L4 и выше и так же устройства которые функционируют для организации кибербезопасности.
Каждая из этих зон требует уникальной безопасности, статистика показывает, что злоумышленник пытающийся скомпрометировать системы будет пытаться получить доступ к AD DC располагающийся на L3.
Неправомерное воздействие злоумышленником на АСУ ТП\ICS может привести к большим финансовым потерям организации. В некоторых секторах злонамеренно вторжение в АСУ ТП\ICS будет иметь реальные физичке результаты.
В сценариях атаки вторжение начинается с некоторой точки за пределами зоны контроля, и злоумышленник все глубже и глубже изучает, и проникает в архитектуру.
Многоуровневые стратегии (Defense in Depth), обеспечивающие безопасность каждой из основных зон, могут глубоко создать защитную стратегию предлагая офицерам по безопасности больше возможностей для управления информационными ресурсами и так же вводя контрмеры.
L 3.5: Демилитаризованная зона (DMZ) - это физическая и логическая подсеть, которая действует как посредник для подключенных устройств безопасности. DMZ добавляет дополнительный уровень безопасности к локальной сети организации внешний злоумышленник имеет прямой доступ только к оборудованию в демилитаризованной зоне, а не к любой другой части сети. Как правило на предприятие должно существовать две DMZ, одна на стыке соединения корпоративной сети с сетью интернет, вторая на стыке соединения сети АСУ ТП\ICS и корпоративной сети.
Возможность установить DMZ между корпоративной и управляющей сетями представляет собой значительное улучшение с использованием межсетевых экранов. Каждая DMZ содержит один или несколько критических компонентов, таких как архив данных, системы удаленного и стороннего доступа, сервисы для организации кибербезопасности которые взаимодействуют с сетями уровнем выше. Создание DMZ требует, чтобы межсетевой экран имел три или более интерфейсов. Один из интерфейсов подключается к корпоративной сети, второй - к сети управления, а остальные интерфейсы - к общим или незащищенным устройствам, таким как сервер истории данных и тд...
Размещая корпоративные доступные компоненты в демилитаризованной зоне, прямые каналы связи из корпоративной сети в сеть управления не требуются, каждый путь заканчивается в DMZ. Большинство межсетевых экранов могут поддерживать несколько DMZ и могут указывать, какой тип трафика может передаваться между зонами. Межсетевой экран может блокировать поступление произвольных пакетов из корпоративной сети в сеть управления, а также регулировать трафик из других зон сети, включая сеть управления АСУ ТП\ICS. При хорошо спланированных наборах правил можно поддерживать четкое разделение между управляющей сетью и другими сетями.
По мере того, как АСУ ТП\ICS усложняются и подключаются к бизнесу и внешним сетям, растет число потенциальных проблем безопасности и связанных с ними рисков. Широкий спектр векторов атак, направленных на несколько ресурсов в системах управления, может привести к асинхронным атакам в течение длительного периода времени и может быть нацелен на многочисленные уязвимости в среде системы управления. Организации не могут полагаться на одну контрмеру, чтобы смягчить все проблемы безопасности. Чтобы эффективно защитить ICS от кибер атак, организации должны применять несколько контрмер, что снижает риск, используя совокупность методов снижения безопасности. Следует отметить, что меры глубокоэшелонированной защиты не защищают и не могут защитить все уязвимости и недостатки в среде АСУ ТП\ICS.
Спасибо за внимание!
И так сегодня разберем базовую сетевую архитектуру АСУ ТП/ICS и какие сервисы должны располагаться на всех уровнях архитектуры, во избежание компрометации нашего предприятия злоумышленниками.
Многие думают, что сегмент АСУ ТП привлекателен только для APT группировок но это не совсем так, присутствие не квалифицированного персонала так же дает о себе знать. Тут можно посмотреть, как через всеми любимый
Ссылка скрыта от гостей
были обнаружены ПЛК в сети интернет и другие девайсы которые работают в промышленном сегменте, ознакомиться можно
Ссылка скрыта от гостей
.Автоматизированные системы управления технологическим процессом АСУ ТП/ICS являются неотъемлемой частью критически важных инфраструктур, помогая облегчить множество операции в таких важных отраслях, как электроэнергия, нефть и газ, вода, транспорт, производство и химическое производство. Растущая проблема кибербезопасности и ее влияние на АСУ ТП/ICS выдвигает на первый план большие риски для критической инфраструктуры (КИИ) которые выражены в следующем:
- Отсутствие актуальных антивирусных сигнатур или вовсе отсутствие установленного антивирусного ПО на АРМ\Серверах
- Отсутствие установленных актуальных патчей безопасности Windows
- Неподдерживаемые ОС системы Windows 7, Windows XP и тд…
- Отсутствие настроек безопасности Windows, парольная политика и тд…
И так давайте рассмотрим рекомендуемый дизайн сетевой архитекторы АСУ ТП/ICS.
И так разуберём все уровни данной архитектуре:
L0: Размещены исполнительные механизмы датчики и тд… устройства которые непосредственно передают сигнал через модули ввода вывода на ПЛК.
L1: ПЛК и их элементы управления ввода вывода.
L2: Системы для локального удаленного управления технологической зоной, операторские станции, HMI.
Приоритет этих уровней очень высок, поскольку это область, где функции управления влияют на физические конечные устройства. Также на данных уровнях могут быть реализованы системы безопасности (SIS), которые автоматически контролируют уровень безопасности с конечных устройств, отклонение от уставок и тд…
При правильном проектирование, SIS следует размещать в отдельной сети, чтобы в случае возникновения инцидента в первичной сети АСУ ТП\ICS системы безопасности продолжали функционировать и не подвергались риску компрометации.
L3: На данном уровне расположены сервисы которые не нуждаться взаимодействия с внешними сетями L4 и выше и так же устройства которые функционируют для организации кибербезопасности.
Каждая из этих зон требует уникальной безопасности, статистика показывает, что злоумышленник пытающийся скомпрометировать системы будет пытаться получить доступ к AD DC располагающийся на L3.
Неправомерное воздействие злоумышленником на АСУ ТП\ICS может привести к большим финансовым потерям организации. В некоторых секторах злонамеренно вторжение в АСУ ТП\ICS будет иметь реальные физичке результаты.
В сценариях атаки вторжение начинается с некоторой точки за пределами зоны контроля, и злоумышленник все глубже и глубже изучает, и проникает в архитектуру.
Многоуровневые стратегии (Defense in Depth), обеспечивающие безопасность каждой из основных зон, могут глубоко создать защитную стратегию предлагая офицерам по безопасности больше возможностей для управления информационными ресурсами и так же вводя контрмеры.
L 3.5: Демилитаризованная зона (DMZ) - это физическая и логическая подсеть, которая действует как посредник для подключенных устройств безопасности. DMZ добавляет дополнительный уровень безопасности к локальной сети организации внешний злоумышленник имеет прямой доступ только к оборудованию в демилитаризованной зоне, а не к любой другой части сети. Как правило на предприятие должно существовать две DMZ, одна на стыке соединения корпоративной сети с сетью интернет, вторая на стыке соединения сети АСУ ТП\ICS и корпоративной сети.
Возможность установить DMZ между корпоративной и управляющей сетями представляет собой значительное улучшение с использованием межсетевых экранов. Каждая DMZ содержит один или несколько критических компонентов, таких как архив данных, системы удаленного и стороннего доступа, сервисы для организации кибербезопасности которые взаимодействуют с сетями уровнем выше. Создание DMZ требует, чтобы межсетевой экран имел три или более интерфейсов. Один из интерфейсов подключается к корпоративной сети, второй - к сети управления, а остальные интерфейсы - к общим или незащищенным устройствам, таким как сервер истории данных и тд...
Размещая корпоративные доступные компоненты в демилитаризованной зоне, прямые каналы связи из корпоративной сети в сеть управления не требуются, каждый путь заканчивается в DMZ. Большинство межсетевых экранов могут поддерживать несколько DMZ и могут указывать, какой тип трафика может передаваться между зонами. Межсетевой экран может блокировать поступление произвольных пакетов из корпоративной сети в сеть управления, а также регулировать трафик из других зон сети, включая сеть управления АСУ ТП\ICS. При хорошо спланированных наборах правил можно поддерживать четкое разделение между управляющей сетью и другими сетями.
По мере того, как АСУ ТП\ICS усложняются и подключаются к бизнесу и внешним сетям, растет число потенциальных проблем безопасности и связанных с ними рисков. Широкий спектр векторов атак, направленных на несколько ресурсов в системах управления, может привести к асинхронным атакам в течение длительного периода времени и может быть нацелен на многочисленные уязвимости в среде системы управления. Организации не могут полагаться на одну контрмеру, чтобы смягчить все проблемы безопасности. Чтобы эффективно защитить ICS от кибер атак, организации должны применять несколько контрмер, что снижает риск, используя совокупность методов снижения безопасности. Следует отметить, что меры глубокоэшелонированной защиты не защищают и не могут защитить все уязвимости и недостатки в среде АСУ ТП\ICS.
Спасибо за внимание!
