Защита АСУ ТП средствами Cisco IPS
0 likes2,528 views
Документ описывает защиту автоматизированных систем управления технологическими процессами (АСУ ТП) с использованием средств Cisco IPS. Он подчеркивает важность защиты этих критически важных систем от киберугроз и уязвимостей, предлагая специализированные сигнатуры для обнаружения атак. Cisco предлагает адаптивные технологии обнаружения и предотвращения вторжений, что позволяет поддерживать высокий уровень защиты даже при изменении вредоносных программ.
More Related Content
Similar to Защита АСУ ТП средствами Cisco IPS (20)
Защита АСУ ТП средствами Cisco IPS
- 1. Информационный документ Защита АСУ ТП средствами Cisco IPS Защита АСУ ТП: что должен знать каждый заказчик Предлагая системы предотвращения вторжений (IPS), Cisco предоставляет заказчикам эффективную защиту систем АСУ ТП. Защита АСУ ТП – это узкоспециализированная отрасль сетевой безопасности, в которой последствия отказов и сбоев могут быть критическими, а иногда и катастрофическими. Теперь решения Cisco® IPS поддерживают лицензируемый набор сигнатур, подготовленных специалистами в области безопасности АСУ ТП для контроля и надежной защиты этих критически важных систем промышленных предприятий, предприятий ТЭК и т.д. Обзор систем предотвращения вторжений (IPS) Сенсоры Cisco IPS обеспечивают высокоэффективное интеллектуальное обнаружение вторжений и точно выверенную реакцию на атаки, позволяя реализовать функциональность IPS как на периметре сети, так и в центре обработки данных, построенных на базе протокола IP 4-й и 6-й версии. Технология интеллектуального обнаружения Сенсоры Cisco IPS точно идентифицируют, классифицируют и останавливают вредоносный трафик, прежде чем он сможет стать причиной ущерба технологическим и бизнес-процессам. ● Технология Cisco IPS направлена на предотвращение вредоносной активности на протяжении всего жизненного цикла атак и на всех уровнях стека протоколов. ● Модульные средства анализа трафика, основанные на разработанных Cisco инновационных технологиях обеспечения безопасности и интеллектуальных механизмах, способны обнаруживать и предотвращать угрозы для всех уровней стека протоколов, от протокола ARP до сложных приложений корпоративного уровня. Технология Cisco IPS позволяет защититься от самых современных методов обхода систем предотвращения вторжения и может нормализовать даже самый фрагментированный сетевой трафик. ● Технология Cisco IPS обеспечивает адаптивное обнаружение аномалий и фактов использования различных уязвимостей. Cisco сконцентрировала свои усилия на создании сигнатур, позволяющих точно обнаруживать попытки использования потенциальных уязвимостей, поэтому возможность обнаруживать угрозы сохраняется на том же высоком уровне даже при изменении вредоносного кода или эксплойтов. Для защиты от совершенно новых атак («zero-day») сенсор Cisco IPS собирает информацию о сети, обнаруживает аномалии протоколов и поведения, после чего нейтрализует атаки без необходимости обновления сигнатур. ● С появлением технологии глобальной корреляции Cisco стала инициатором использования в отрасли IPS репутационных механизмов. Глобальная информация об угрозах преобразуется в сведения для принятия решений (например, в виде показателей репутации) и может также использоваться для формирования «черных списков» и инициирования динамической реакции на угрозу. © Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 1 из 5
- 2. Защита АСУ ТП Автоматизированная система управления технологическими процессами (АСУ ТП) – это термин, обозначающий нескольких типов систем управления, используемых в критически важных инфраструктурах и в промышленном секторе, включая системы диспетчерского управления и сбора данных (SCADA), системы управления технологическими процессами (PCS) и другие, менее крупные системы управления, например построенные на базе программируемых логических контроллеров (PLC). ● Количество угроз и уязвимостей АСУ ТП постоянно растет. В течение последних 10 лет наблюдался значительный рост количества угроз, уязвимостей и кибер-атак на промышленные объекты, использующие АСУ ТП. ● Уровень доступности АСУ ТП возрос. С появлением технологий «готового продукта для потребительского сектора» (COTS) и расширением взаимосвязей между АСУ ТП и ИТ-инфраструктурами предприятий, системы АСУ ТП стали доступными и уязвимыми перед типовыми и широко распространенными угрозами, ранее не попадавшими в физически изолированные сегменты АСУ ТП. ● Установка обновлений системного и прикладного ПО – трудный и дорогостоящий процесс. Внесение исправлений связано со снижением производительности или остановкой работы системы, либо может повлечь непредусмотренные последствия, в результате которых производственные процессы будут нарушены, а бизнес будет терять деньги. На практике АСУ ТП могут эксплуатироваться без внесения исправлений в течение длительного времени, при этом в производственных системах остаются давно известные уязвимости. Рисунок 1. Количество публично раскрытых уязвимостей в системах АСУ ТП по данным CERT Январь-июнь Июль-декабрь Январь-июнь Июль-декабрь *(ожидается) Статистические данные из архива сводок и отчетов по системам управления Программы безопасности системам управления (CSSP) US-CERT, 7 июля 2011 г. Рисунок 2. Категории уязвимостей, выявленных в АСУ ТП 47 % Неадекватная проверка достоверности входных данных 18 % Управление разрешениями, полномочиями и доступом 11 % Неправильная аутентификация 8 % Недостаточный контроль подлинности данных 8 % Низкое качество программного кода 5 % Настройка и обслуживание систем безопасности 3 % Управление учетными записями Статистические данные из отчета US-CERT «Common Cybersecurity Vulnerabilities in Industrial Control Systems» (Распространенные уязвимости АСУ ТП в аспекте информационной безопасности), 7 июля 2011 г. © Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 2 из 5
- 3. Приоритетные направления Промышленное оборудование и системы управления, используемые в разных отраслях, различаются, однако имеют некоторые общие черты. Широко используемые в сфере производства протоколы могут скрывать в себе типовые уязвимости, в то время как некоторые поставщики таких продуктов могут в значительной степени поддерживать проприетарность или предлагать уникальную реализацию стандартизованных продуктов. Результатом этого является необходимость обеспечивать защиту как специфических для отрасли, так и общепринятых платформ и протоколов. Предлагаемый Cisco начальный набор сигнатур для защиты АСУ ТП включает комбинацию средств обнаружения для широко распространенных протоколов, используемых в АСУ ТП, и специфические шаблоны атак, ориентированных на инструментальные средства и среды, применяемые в нефтегазовой отрасли. Набор этих сигнатур будет постоянно расширяться – Cisco будет продолжать формировать сигнатуры для защиты общих протоколов АСУ ТП, а также дополнительной защиты систем для нефтегазовой отрасли. Кроме того, специализированные пакеты сигнатур и шаблонов обнаружения атак будут ориентированы на другие отрасли, в частности, предприятия коммунального хозяйства, производство, транспорт и добычу природных ресурсов. Как показано на рис. 3, корректность размещения сенсора IPS в сети предприятия или сети АСУ ТП является критически важным фактором для защиты промышленных систем в рамках ИТ-инфраструктуры. Рисунок 3. Сценарии защиты АСУ ТП средствами Cisco IPS Корпоративная сеть Корпоративная сеть Enterprise Рабочие места Optimization Suite Сервер сторонних приложений Сеть АСУ ТП Мобильный верхнего уровня оператор Сеть Сервер Сервер Сервер Рабочее соединений Historian приложений место инженера Сеть контроллеров Serial OPC или Fieldbus Сеть уровня Резервирование датчиков и исп. механизмов Сторонние контроллеры, серверы и т. д. HART Fieldbus PRQFI BUS Serial RS485 OPC Лицензирование и готовность Предлагаемый Cisco комплект сигнатур для защиты АСУ ТП лицензируется на уровне отдельных устройств и поставляется в рамках существующей системы обновления сигнатур. Заказчики могут приобрести лицензию для конкретной платформы и получать специализированные обновления при наличии действующего контракта на поддержку сенсоров IPS. Для получения более подробных сведений обращайтесь к представителю Cisco. © Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 3 из 5
- 4. Защита посредством сигнатур Ниже приведены примеры протоколов и угроз, охваченные в рамках предлагаемого Cisco набора сигнатур для защиты систем АСУ ТП. Системы: SCADA, DCS, PLC, SIS, RTU, EMS. Основные производители АСУ ТП, для которых разработаны сигнатуры: Schneider, Siemens, Rockwell, GE, ABB, Yokogawa, Motorola, Emerson, Invensys, Honeywell, SEL. Угрозы и защита: известные уязвимости, обеспечение выполнения политики, нормализация трафика протоколов. Информация для заказа В таблице 1 содержится информация для заказа сигнатур Cisco IPS SCADA. Таблица 1. Информация для заказа Номер по каталогу (P/N) Целевая платформа L-ASA5510-SCA= ASA5510–AIP10, ASA5510–AIP20, L-ASA5520-SCA= ASA5520–AIP10, ASA5520–AIP20, ASA5520–AIP40 L-ASA5540-SCA= ASA5540–AIP20, ASA5540–AIP40 L-ASA5585-10-SCA= ASA5585–SSP10 L-ASA5585-20-SCA= ASA5585–SSP20 L-ASA5585-40-SCA= ASA5585–SSP40 L-ASA5585-60-SCA= ASA5585–SSP60 L-ASA-AIP5-SCADA= ASA 5505 L-IPS-4240-SCADA= IPS 4240 L-IPS-4255-SCADA= IPS 4255 L-IPS-4260-SCADA= IPS 4260 L-IPS-4270-SCADA= IPS 4270 L-IPS-IDSM2-SCADA= IDSM-2 Требования к версии программного обеспечения Для корректной работы сигнатур Cisco для защиты АСУ ТП необходимо, чтобы версия программного обеспечения для целевых платформ, перечисленных в таблице 1, поддерживала ядро сигнатур E4. Поддержка Е4 реализована в версии программного обеспечения Cisco IPS 7.0 и более поздних версиях. Услуги Cisco по поддержке IPS Услуги Cisco по поддержке IPS (Cisco Services for IPS) представляют собой комплексный сервис безопасности и являются неотъемлемой частью решений Cisco IPS, позволяя заказчикам получать критические по времени обновления файлов сигнатур и различные оповещения. Будучи частью портфеля услуг технической поддержки Cisco, услуги Cisco по поддержке IPS позволяют обеспечить актуальное состояние системы Cisco IPS для борьбы с самыми последними угрозами за счет точной идентификации, классификации и запрета вредоносного трафика. В контексте защиты АСУ ТП важно отметить, что единственным средством получения доступа к сигнатурам Cisco для защиты АСУ ТП является наличие действующего контракта на услуги Cisco по поддержке IPS, связанного с целевой платформой системы предотвращения вторжений. Для получения дополнительных сведений об услугах Cisco по поддержке IPS, посетите web-страницу http://www.cisco.com/en/US/products/ps6498/index.html. © Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 4 из 5
- 5. © Cisco и/или ее дочерние компании, 2012. С сохранением всех прав. В данном документе содержится общедоступная информация Cisco. Стр. 5 из 5