Кибербезопасность АСУ ТП и технологических сетей связи Лопухов И.В. Бренд-менеджер компании “ПРОСОФТ” 14.11.2013 Современные тенденции в развитии промышленных систем передачи данных Промышленная безопасность Industrial Ethernet Стандарт IE для технологической связи: • •АСУ • ТП •ССПТИ •Метрология • Безопасность производственного персонала Непрерывность производственных процессов Стандартизация.
Download ReportTranscript Кибербезопасность АСУ ТП и технологических сетей связи Лопухов И.В. Бренд-менеджер компании “ПРОСОФТ” 14.11.2013 Современные тенденции в развитии промышленных систем передачи данных Промышленная безопасность Industrial Ethernet Стандарт IE для технологической связи: • •АСУ • ТП •ССПТИ •Метрология • Безопасность производственного персонала Непрерывность производственных процессов Стандартизация.
Slide 1
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 2
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 3
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 4
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 5
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 6
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 7
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 8
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 9
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 10
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 11
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 12
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 13
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 14
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 15
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 16
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 17
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 18
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 19
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 20
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 21
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 22
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 23
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 24
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 25
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 26
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 27
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 2
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 3
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 4
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 5
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 6
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 7
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 8
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 9
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 10
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 11
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 12
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 13
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 14
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 15
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 16
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 17
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 18
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 19
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 20
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 21
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 22
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 23
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 24
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 25
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 26
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!
Slide 27
Кибербезопасность АСУ ТП и
технологических сетей связи
Лопухов И.В.
Бренд-менеджер
компании “ПРОСОФТ”
14.11.2013
Современные тенденции в развитии
промышленных систем передачи данных
Промышленная
безопасность
Industrial Ethernet
Стандарт IE для
технологической связи:
•
•АСУ
•
ТП
•ССПТИ
•Метрология
•
Безопасность
производственного персонала
Непрерывность
производственных процессов
Стандартизация процессов по
ИБ
Промышленная
беспроводная связь
Мобильный рабочий
персонал
• Уменьшение кабельных
соединений на
производственных участках
• Беспроводные датчики
(ISA 100.11a , WirelessHart)
•
Применение Industrial Ethernet опережает все известные стандарты по передаче данных для
промышленных систем автоматизации
Интеграция корпоративных и технологических сетей
Уровень контроля
Уровень управления
Технологические сети связи (1)
Управление
Контроль
Полевой
Корпоративная сеть
Консоль
оператора
EAGLE
(Engineering,
SCADA, Asset
Management)
Cyber Security
EAGLE
Industrial
HiVision
MACH4000
MACH4000
Управление сетью
10Gb
Server
PLC
MS30
BAT54-Rail
MS30
Беспроводной
доступ для
сервисого
персонала
Отказоустойчивое кольцо
HMI
RS30
HIPER-Ring 1Gb
RS30
Wireless LAN
Camera
EAGLE
Cyber Security
EAGLE
Технологические сети связи (2)
EAGLE
Cyber Security
Portfolio промышленного
ETHERNET
Управление
Контроль
Полевой
RS20
Полевой уровень
BAT54-F
AC/AP
Mobile
Client
Cyber Security
OCTOPUS
RS20
RS20
EAGLE
SPIDER
EAGLE
RS20
SPS
IP67Gateway
SPIDER
RS20
Redundanter
HIPER-Ring
100Mb
e2c 67
RS20
LioNLink
Gateway
LioN
LDB
Gateway
LioN
LioN
LDB
RS20
SPS
e2c 20
LDB
Совершенствование коммуникационной
структуры подстации
- Множественные
медные соединения
- Появление
резервирования
каналов связи
Завтра
Сегодня
-Только оптические соединения
-Полное резервирование каналов связи
- Множественные медные соединения
Вчера
- Отсутствие резервирования
Топология сети цифровой подстанции:
стандарт МЭК 61850
Промышленный Firewall
Станционная шина
Шина процессов
Эволюция коммуникационной структуры
подстанции
ЦУС
Станционная шина
Fast HIPER-Ring <5ms
(MRP, RSTP)*
IED
Process Bus
Sub-Ring
Интеллектуальные
Электронные
Устройства (IED)
IED
IED
IED
*Поддержка:
MRP (Media Redundancy Protocol)
RSTP (Rapid Spanning Tree Protocol)
IED
IED
IED
IED
Использование открытых коммуникационных
стандартов на базе Industrial Ethernet
Видеонаблюдение и
Контроль доступа
Уязвимости современных промышленных
коммуникационных структур
Возможные сценарии кибер-атак
www
Корпоративная сеть
Firewall
Неверная
конфигурация
АРМ
АРМ
ERP/MES Mailserver Webserver Active Directory
Сеть Технологической Связи DMZ
Firewall
АРМ
Сервер АСУ ТП
DMS server
Database
Полевая сеть исполнительных устройств
Удалённый доступ
Заражение через
модем
PLC
HMI
АРМ
USB Drives
PLC
RTU
RTU
Инфецированнй
мобильный клиент
Уроки Stuxnet
1.Через инфицированные
USB-flash и внешние HDD
2.Через локальную сеть
(диски и сетевые сервиcы с
общим доступом)
3.Через инфицированные
файлы проектов Siemens
(WinCC и STEP 7)
http://visual.ly/stuxnetanatomy-computer-virus
EAGLE Tofino™ - промышленный Firewall
Программно-аппаратная платформа для обеспечения сетевой
безопасности уровня АСУ ТП на уровне L2 модели OSI
• Позволяет защищать сети в соответствии со стандартом IEC 62351
(Security for Industrial Automation and Control Systems)
• Создание безопасных зон внутри промышленной зоны
• Защита промышленного сегмента сети может осуществлять персонал
АСУТП (не требует специальных знаний)
• Управление с помощью графических интерфейсов
• Анализ трафика большинства известных промышленных
протоколов с целью инспекции контента ( функция DPI )
• Расширенные функции сетевого экрана ( фильтрация
промышленных протоколов)
• Аппаратная платформа сертифицирована для работы на
промышленных предприятиях, включая объекты
электроэнергетики
EAGLE Tofino™ - компоненты платформы
Tofino™ Central Management Platform (CMP)
Централизованное управление
Tofino™ Security Appliance
Устройство для защиты сети
Tofino™ Loadable Security Modules (LSM)
Загружаемые модули реализующие,
различные функции защиты
Tofino™ Central Management Platform
(CMP): платформа управления
• Конфигурирование, управление и мониторинг всех устройств
Tofino с одной рабочей станции
• Встроенный редактор
• Визуальный Drag&Drop редактор для быстрой настройки
Иерархическое отображения защищаемых
сетевых сегментов
Программируемые правила для
контроллеров разных производителей
• Преконфигурированные правила для более чем 25
семейств промышленных контроллеров
• «Специальные» правила для обработки известных
уязвимостей
Фильтрация промышленных протоколов
• Предопределенные
шаблоны для более
чем 50
промышленных
коммуникационных
протоколов
• Возможно
добавление новых
протоколов
Промышленная аппаратная платформа
• EAGLE20 Tofino TX/TX
Untrusted port - TX, trusted port - TX
• EAGLE20 Tofino TX/MM
Untrusted port - TX, trusted port - MM
• EAGLE20 Tofino MM/TX
Untrusted port - MM, trusted port - TX
• EAGLE20 Tofino MM/MM
Untrusted port - MM, trusted port – MM
Эл.питание: 9.6..60VDC, 18..30VAC
Тем.диапазон работы: -40 ºC ... 60 ºC
Защита от ЭМИ
Подгружаемые функциональные модули
Загружаемые модули (LSM):
•Firewall
•Secure Asset Management
•Content Inspection (Deep Packet Inspection)
•VPN encryption
•Event Logger
Модули LSM загружаются в EAGLE Tofino в зависимости
от требований к функциям безопасности
Модуль Firewall – функции сетевого
экрана
• Быстрое определение списка правил для сетевого трафика
• Автоматически блокируется (с созданием отчетов) любой
трафик, не соответствующий заданным правилам
• Простой механизм определения правил drag-and-drop
Промышленный Firewall: функция DPI глубокий анализ пакетов
IEC61850. Стек протоколов
7 Прикладной
6 Представительский
Телеизмере
ние (SV)
MMS
GOOSE
SNTP
Гарантированная
доставка
(соединение)
5 Сеансовый
4 Транспортный
TCP
UDP/TCP
ISO
3 Сетевой
IP
IP
2 Канальный
Ethernet
1 Физический
Витая пара / Оптическое волокно
• Модуль SAM :
Secure Asset Management LSM
• Обнаружение сетевых устройств (без влияния на процессы
в сети)
• Обнаружение новых устройств, сообщение в CMP и
генерация тревожного оповещения (предупреждения)
• Хранение подробных списков сетевых устройств (inventory
list) в соотвествии с ANSI/ISA-99 и NERC
• Assisted Rule Generation wizard помогает создавать новые
правила FireWall для блокирования трафика
• Модуль Modbus TCP Enforcer
• Инспекция содержимого ModBus пакетов
• Проверка «вменяемости» протокола и блокирование
любого трафика не соответствующего стандарту ModBus
• Инженер АСУ ТП определяет список разрешенных команд
и регистров ModBus
• Автоматическое блокирование и отчет о трафике, не
соответствующему правилам
• Модуль OPC Enforcer
• Инспекция содержимого OPC пакетов
• Автоматическое отслеживание TCP портов назначенных
OPC-сервером для соединений
• Динамическое открывание портов в FireWall только когда
они необходимы
• Проверка «вменяемости» протокола на соответствие
стандартам DCE/RPC
• EAGLE Tofino™ - модуль VPN
• Создание защищенных туннелей между: устройствами
Tofino, Tofino и PC, Tofino и устройствами третьих
производителей
• Простая настройка
• Совместная работа с другими модулями (FireWall, ModBus
Enforcer)
EAGLE Tofino™ - Layer 2 Bridging
Возможность создания Ethernet моста через Internet с
использованием отказоустойчивых протоколов ( RSTP,MRP)
• EAGLE Tofino™ - модуль Event Logger
• Запись Log-сообщений на устройство Tofino
• Запись Log-сообщений на USB-Flash в Tofino
• Передача сообщений на Syslog-сервер
• Нет необходимости в CMP (Central Management Platform)
при настроенной сети (т.е. выход из строя CMP не
приводит к потери контроля над сетью и записью
сообщений)
Демонстрация работы Eagle -Tofino
Спасибо за внимание!